Organisatorische maatregelen AVG

Een paar voorbeelden van maatregelen die u in uw organisatie kan doorvoeren om persoonsgegevens conform de AVG te beschermen. Deze zaken beschermen de persoonsgegevens die aan u zijn toevertrouwd en verminderen de kans tot een datalek. 

Toegangsbeperking

Eén van de beste manieren om binnen uw organisatie de gegevens te beschermen is door te zorgen dat onbevoegden hier geen toegang krijgen tot de persoonsgegevens. 

Zorg voor sterke wachtwoorden

Zorg voor sterke wachtwoorden op uw computer, applicaties en andere plekken waar persoonsgegevens worden verwerkt/kunnen worden ingezien. En zorg ervoor dat deze regelmatig wordt ge-update. Wat maakt nou een sterk wachtwoord? Zorg dat deze in ieder geval 8 karakters lang is en bijzondere leestekens bevat. Maak hem bij voorkeur langer, een goede tip is om 4 totaal willekeurige woorden samen te voegen tot 1 wachtwoord. Hoe langer een wachtwoord is, hoe lastiger te kraken. Maak eventueel gebruik van software oplossingen, bijvoorbeeld LastPass.

Deel geen inlog/wachtwoorden

Het voelt wellicht praktisch om intern inloggegevens te delen onder verschillende gebruikers of collega's binnen eenzelfde bedrijf of afdeling. Dit vormt echter een onnodig risico in uw Privacybeleid. Een paar nadelen op een rij: 

  • U kunt in de actie-logs niet nagaan welke gebruiker er handelingen heeft uitgevoerd. Immers, inloggegevens werden gedeeld waardoor niet met zekerheid is vast te stellen welke persoon verantwoordelijk is geweest voor een wijziging. Ook eventueel misbruik kunt u hierdoor niet nagaan;
  • Treedt er een gebruiker uit dienst, maar kent hij/zij wel de inlog. Dan zult u acuut het wachtwoord moeten resetten en aan alle andere gebruikers moeten delen. Anders is er al sprake van een potentieel datalek;
  • Het is onmogelijk om 2 Factor Authenticatie in te stellen, een voorzorgsmaatregel waar we het zodadelijk over gaan hebben;
  • Het is onmogelijk om "rechten"van een gebruiker te beperken;
  • Gebruikt een medewerker het gezamelijke wachtwoord ergens anders, dan is het hele systeem daarmee in gevaar op een datalek.

Laat geen wachtwoorden, administratie of notities "rondslingeren"

Zorg ervoor dat er geen wachtwoorden onnodig op prikborden hangen. Werk ook aan een zogenaamde Clean Desk policy. Heeft u dan een keer gasten of andere personen op bezoek, dan kunnen zij hier geen gebruik van maken om informatie in te zien waar ze niet bij mogen. Denk ook aan mappen met persoonsgegevens, doe deze zo veel mogelijk op slot in een afgesloten ruimte. 

Zorg ervoor dat uw computerschermen niet uitgelezen kunnen worden 

Bent u even afwezig van uw computer? Zorg er dan voor dat deze "op slot" gaat en er dus geen onbevoegden binnen uw computer zaken kunnen inzien. 

Gebruik Two Factor Authenticatie

Two Factor authenticatie wordt ook wel MultiFactor Authenticatie genoemd. Niet zelden worden deze termen afgekort tot 2FA of MFA.

Het meest bekend voorbeeld is terug te bepaalde banken als ook DigiD. Naast het eigen wachtwoord in combinatie met emailadres of inlognaam, dient er soms ook een aanvullende code te worden opgegeven. Deze unieke code wordt vervolgens bijvoorbeeld per sms of via een applicatie op een smartphone verstrekt. Doordat het toestel waarop deze code tevoorschijn komt in handen zou moeten zijn van de rechtmatige persoon, vormt dit een extra controle c.q. verificatiemiddel. 

Rechten

Zorg ervoor dat u zoveel mogelijk inperkt wie van uw gebruikers ergens bij mag. Want is dat noodzakelijk voor uw organisatie? Of is het "wel handig", maar wordt het eigenlijk niet gebruikt? Maak tevens gebruik van een rechtenstructuur wanneer uw systeem dit aanbiedt. Niet iedereen hoeft een "admin/hoofdgebruiker" te zijn. Zorg ervoor dat gebruikers alleen bij zaken kunnen, waar ze ook bij moeten en niet meer. 

Vraag geen zaken die u niet hoeft te weten

U mag geen persoonsgegevens verwerken, die u niet nodig heeft voor het doel van de verwerking.Op een autoforum hoeft u bijvoorbeeld geen BSN te vragen, een zorgverzekering hoeft andersom niet uw kenteken te weten. Vraag daar dus niet om, of vraag er anders expliciet toestemming voor (met uitleg waar u het voor wilt gebruiken). 

Deel geen persoonsgegevens met derden zonder verwerkingsovereenkomst/ afspraken

Deel niet zomaar wachtwoorden, creditcardgegevens en klantenlijsten met derden. Het delen van gegevens zal zelden noodzakelijk zijn. Indien het delen van gegevens wel noodzakelijk is, zorg er dan voor dat u hiervoor goede afspraken hebt gemaakt over hoe u dit aanlevert en hoe de ontvangende partij er mee om gaat. 

Maak privacy en veiligheid een terugkerend punt op de agenda

AVG compliant zijn is niet alleen op 25 mei 2018 noodzakelijk, maar betreft ook daarna een constant aandachtspunt om in al uw processen rekening mee te houden. Houd altijd Privacy First aan in bijvoorbeeld automatisering van bedrijfsprocessen. Zorg ook dat medewerkers en verwerkers zich aan opgestelde policies houdt:

  • Hanteer Privacy by Default en Privacy by Design in uw huidige en toekomtige verwerkingen in het achterhoofd. Bij alles wat u doet, sta stil: 
    • waar u dit voor wilt verwerken
    • of dit mag (welke grondslag is hiervoor en is dit goed onderbouwd)
    • hoe u dit/deze persoonsgegeven(s) zoveel mogelijk kan beschermen 
  • Doe regelmatig een audit. Laat voor nieuwe processen waarvan u niet weet of hier privacygevoelige problemen kunnen ontstaan, een DPIA uitvoeren. 
  • Ga na of u een Functionaris voor de Gegevens­bescherming (FG) wilt, of zelfs moet aanstellen.

Technische Maatregelen AVG Wat moet u doen onder de AVG? Direct beginnen