Technische maatregelen AVG

Naast organisatorische maatregelen, zult u er ook voor moeten zorgen dat u technische maatregelen heeft getroffen om persoonsgegevens zo goed mogelijk te beschermen. Praat hierover met uw verwerkers/ programmeurs wanneer u niet weet hoe u dit moet doen. Weten zij het ook niet, ga dan op zoek naar ICT-specialisten die hen of u hierin kunnen assisteren en adviseren. 

Basis beveiliging

Er kunnen op 2 fronten technische aanpassingen worden gedaan, de eerste, de easy wins, waarmee uw organisatie vanuit de basis op technisch vlak de persoonsgegevens kan beveiligen: 

SSL Certificaat

Zorg (indien nog niet aanwezig) voor een SSL certificaat/ https op al uw websites/subdomeinen/CRMS /webshops die u online heeft staan. SSL (of TLS, de opvolger van SSL)  is een encryptieprotocol waarmee de verbinding met uw website kan worden beveiligd. Het zorgt ervoor dat alle gegevens die over het internet worden verzonden van en naar uw website, worden versleuteld. Dit betekent dat ze niet leesbaar zijn voor een buitenstaander, dus gegevens niet kunnen worden onderschept.  U vraagt een SSL certificaat aan bij uw hosting (mogelijk moet uw programmeur daarna de websites nog omzetten naar https)

Houd uw websites up-to-date

Zorg ervoor dat, wanneer u open source systemen, zoals bijvoorbeeld Wordpress, gebruikt, dat u deze altijd zo snel mogelijk bijwerkt naar de meest actuele versie hiervan (en ook hun thema's en andere plugins). Open Source brengt wellicht een hoop voordelen met zich mee voor uw bedrijfswebsite, maar is in dit geval een potentieel beveiligingsrisico. Gedateerde versies lopen een verhoogd risico te worden gehackt (hier wordt door kwaadwillenden doelbewust op gezocht), en een datalek wilt u te allen tijde voorkomen. Zorg er overigens wel voor dat u weet wat u doet bij het updaten van uw systemen, schakel hier eventueel een derde voor in (of zorg voor goede back-ups). 

Cookies (anonimiseren)

Wellicht gebruikt u Google Analytics?  Maar heeft u geen directe baat bij IP-adressen? Overweeg dan of het voor uw organisatie niet beter is dat u Google Analytics anonimiseert. Dit zorgt ervoor dat u binnen de AVG niet langer persoonsgegevens verwerkt met dit specifieke cookie.

Gebruikt u overige cookies op uw website, ga dan na of uw cookiebeleid in de AVG nog actueel is. 

Back-ups

Mocht er ooit een incident plaatsvinden, bijvoorbeeld het per ongeluk verwijderen van een cruciale database, een hack of ransomware, of op kleiner niveau, een foutieve update van uw website, dan bent u door gebruik te maken van periodieke back-ups altijd in staat om deze verloren gegevens te herstellen. Maken van backups is een tip voor al uw systemen. Let tegelijkertijd wel op: in deze back-ups staan vaak dus persoonsgegevens. Zorg ervoor dat deze daarom goed beveiligd zijn en sta erbij stil dat in gevallen van "recht op vergeten" of "recht van inzage" betrokken ook hier van op de hoogte moeten worden gesteld, en mogelijk zelfs uit verwijderd moeten worden. 

Virusscanner, firewall en malwarescanner

 Zorg ervoor dat uw internet beveiling op de gebruikte computers,laptops en smartphone's altijd goed op orde is. Houd deze actueel en schakel hier goede partijen voor in. Scan daarnaast ook regelmatig uw systemen, om eventuele problemen vroeg te kunnen signaleren. 

Logging

Zorg ervoor dat u in uw systeem kan nagaan wie op welk moment heeft ingelogd, en eventueel welke handelingen ze hebben uitgevoerd. Eventuele fouten, bewust of onbewust, kunnen hierdoor worden nagegaan. 

Wachtwoord eisen en Multi Factor Authenticatie

Ook reeds benoemd in organisatorische maatregelen, maar hier komt een stukje techniek om de hoek kijken.U kunt uw eigen wachtwoorden (en die van uw medewerkers/gebruikers) verplichtingen op leggen. Bijvoorbeeld minimaal 8 tekens, met speciale tekens en cijfers. Two Factor Authenticatie, zeker voor gebruikers die op een gevoeliger niveau met persoonsgegevens omgaan, zouden tevens meten overwegen dit te gebruiken. 

Beveiliging voor Pro's

In sommige gevallen, zeker wanneer er gevoelige/bijzondere persoonsgegevens worden verwerkt, zal het wenselijk zijn deze extra goed te beveiligen. Enkele voorbeelden van technische maatregelen die getroffen kunnen worden ter bescherming van persoonsgegevens:

Raadzaam is om periodiek na te gaan of de getroffen technische maatregelen nog afdoende is, of dat situaties of zelfs opslag van (categorie van) persoonsgegevens wellicht is uitgebreid.

Wat moet u doen onder de AVG? Verwerkers­overeenkomst Direct beginnen