Hoe kunnen we ervan verzekerd zijn dat de data die wij verwerken veilig is?

Het beleid van jouw organisaties aangaande het beschermen van gegevens hangt af van een groot aantal factoren: bijvoorbeeld het type gegevens die je opslaat, de gevoeligheid hiervan, hoeveel je er van hebt, hoe complex jouw digitale infrastructuur is, en of je de kennis over digitale veiligheid in huis hebt of er voor kiest deze uit te besteden. Op zijn minst moet je de volgende stappen ondernemen:

  • Maak een overzicht van de persoonlijke gegevens die je hebt en breng in kaart waar je deze opslaat.

  • Doe een risicobepaling, wijs nauwkeurig de meest voor de hand liggende plaatsen voor lekken/ongeautoriseerde toegang.

  • Implementeer een actieplan voor gegevensbescherming dat bouwt op je risicobepaling, en dat het volgende bevat: data-minimalisatie (verzamel, verwerk en sla enkel gegevens op die je absoluut nodig hebt); toegangscontrole (limiteer wie toegang heeft tot persoonsgegevens); opslagbeveiliging (waar sla je (bijzondere) persoonsgegevens op? Wordt deze apart opgeslagen van andere soorten gegevens? Wordt deze gecodeerd?); digitale hygiëne voor personeel; en een gegevensretentie-, archiverings- en vernietigingsbeleid.

  • Test de beveiligingssystemen die persoonsgegevens bevatten (servers, email, archieven, enz).

  • Schrijf alle acties op die je hebt ondernomen om de persoonsgegevens in je bezit te beschermen.

  • Stel een actieplan samen en voer een test uit in geval van een datalek. Het actieplan omschrijft welke rollen en verantwoordelijkheden er zijn, hoe je rapporteert aan de toezichthouder, en zo voort.

  • Stel een plan samen om regelmatig deze stappen te herzien.

Moet je HTTPS gebruiken om te voldoen aan de AVG? Nee, het is niet verplicht om HTTPS te gebruiken op je website, maar het is wel een goede praktijk, die wordt aanbevolen door toezichthouders. Bezoek voor meer informatie over HTTPS Let’s Encrypt.