Wat moet de werkgever doen om persoonsgegevens te beveiligen?

De wet schrijft geen specifieke maatregelen of beveiligingsstandaard voor. Volgens de wet moet de beveiliging passend zijn voor de gevoeligheid van de gegevens en de risico’s die met de verwerking samenhangen. Ook de kosten van de maatregelen wegen daarbij mee.
Toch kan de toepassing van een standaard (zoals ISO 27001, 27002, 27017, 27018, of NEN 7510, 7512, of 7513) een goed hulpmiddel kan zijn om tot de wettelijk vereiste ‘passende’ beveiliging te komen. Het is ook mogelijk dat bepaalde maatregelen of standaarden in een bepaalde sector zó gemeengoed worden, dat het erg lastig kan worden om aan te tonen dat de beveiliging toch passend is zonder deze maatregelen of standaarden toe te passen. Voorbeelden van gebruikelijke beveiligingsmaatregelen zijn:
  • Beveiligings- en autorisatiebeleid (toegang alleen bij need-to-know);
  • Logische toegangscontrole (sterke wachtwoorden en/of multi-factor-authenticatie);
  • Patch management (voor tijdige uitrol beveiligingsupdates);
  • Beveiliging van internetverbindingen (bijvoorbeeld via SSL/TLS-technologie);
  • Beveiliging van interne netwerken (firewalls, met de juiste configuratie);
  • Antivirussoftware;
  • Encryptie (versleuteling) van apparaten of databases met persoonsgegevens;
  • Fysieke toegangsbeveiliging (zoals hekken, sloten, alarmsystemen, camera’s);
  • Afspraken vastleggen met alle externe partijen die persoonsgegevens van werknemers kunnen verwerken, zoals een salarisadministrateur, arbodienst, of pensioenverzekeraar of -tussenpersoon, in de verwerkersovereenkomst (voor ingang van de AVG heet dit ‘verwerkersovereenkomst’).
Word pro

Pro-abonnees downloaden gratis het Ebook met 167 vragen en antwoorden over Privacy-wetgeving / AVG-GDPR.