Stap 5. Beveiliging persoonsgegevens
Welke eisen stelt de wet aan beveiliging van persoonsgegevens?
Als Financieel adviseur/Bemiddelaar ben je verplicht om passende technische en organisatorische maatregelen te treffen, die een beveiligingsniveau waarborgen dat afgestemd is op de risico’s van de gegevensbescherming.
Voorbeelden van technische maatregelen zijn pseudonimisering of versleuteling van digitale bestanden, maar ook toegangscontrole door middel van gebruikersnaam en wachtwoord. Een voorbeeld van organisatorische maatregelen is het beperken van de toegang tot gegevens voor bepaalde personen binnen de organisatie (autorisatiebeleid). Het is daarbij van belang dat je er ook voor zorgt dat iedereen die onder je gezag handelt en toegang heeft tot de persoonsgegevens, deze uitsluitend in jouw opdracht verwerkt.
Je moet aan de toezichthouder kunnen aantonen dat passende maatregelen zijn genomen.
Wat is passend?
De beoordeling van het passende beveiligingsnorm is een open norm. In algemene zin geldt: hoe gevoeliger de persoonsgegevens zijn, hoe zwaarder de veiligheidswaarborgen die nodig zijn.
Bij de beveiligingsmaatregelen hou je rekening met:
- de stand van de techniek
- de uitvoeringskosten
- de aard van de verwerking
- de omvang van de verwerking
- de context van de verwerking
- de verwerkingsdoeleinden
- de zwaarte van de risico’s
- de kans dat de vastgestelde risico’s zich zullen verwezenlijken
Welk beveiligingsniveau?
Voor het bepalen van het juiste beveiligingsniveau kun je onderstaande 3 stappen doorlopen. Om meer zekerheid te hebben dat genomen beveiligingsmaatregelen passend zijn, kan aansluiting worden gezocht bij certificeringen (t.a.v. beveiligingstechnologieën) of advies ingewonnen van een beveiligingsexpert. In ons kennisdossier cyberrisico vind je ook meer informatie en hulpmiddelen.
Het te kiezen beveiligingsniveau moet je als eerste afstemmen op het risico dat een betrokkene loopt bij de verwerking van zijn gegevens. Risico’s die zich kunnen voordoen als gevolg van de verwerking zijn bijvoorbeeld:
- identiteitsfraude of – diefstal
- financiële verliezen
- reputatieschade
- verlies van vertrouwelijkheid van gegevens
- een economisch of maatschappelijk nadeel
Er wordt in ieder geval uitgegaan van een verhoogd risico bij:
- betrokkenen hun rechten niet kunnen uitoefenen of geen mogelijkheid hebben controle over hun persoonsgegevens uit te oefenen
- verwerking van gezondheidsgegevens of strafrechtelijke gegevens
- verwerking van gegevens van kwetsbare personen, met name van kinderen
- verwerking van een grote hoeveelheid persoonsgegevens met gevolgen voor een groot aantal Betrokkenen
- verwerking van bijv. financiële gegevens, gezondheidsgegevens of persoonlijke voorkeuren om persoonlijke (klant)profielen op te stellen en gebruiken.
Je dient objectief vast te stellen of het bij de gegevensverwerking gaat om een ‘risico’ of een ‘hoog risico’.
Passende maatregelen zijn niet per definitie de zwaarst mogelijk te treffen maatregelen. Het zijn maatregelen die in verhouding staan tot de gegevens en de bijbehorende risico’s voor de Betrokkenen. Hoe groter het risico, des te zwaarder de maatregelen die nodig zijn.
Voorbeeld:
wanneer je op grote schaal bijzondere gegevens verwerkt, dien je zwaardere beveiligingsmaatregelen te treffen dan wanneer je kleinschalig NAW-gegevens verwerkt.
De wetgever verwacht (daar waar passend) in ieder geval de volgende maatregelen;
- de pseudonimisering en versleuteling van persoonsgegevens;
- het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
- het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
- een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
De beveiligingsmaatregelen die je treft, dienen gedurende de gehele looptijd van de gegevensverwerking passend te zijn. Dit betekent dat het van belang is dat je periodiek dient te evalueren of de beveiligingsmaatregelen nog passend zijn.
Voorbeeld:
Cyberaanvallen worden steeds geraffineerder. Je dient je beveiliging hier steeds op aan te passen.
Registreren toegang tot persoonsgegevens
Je bent verplicht om bij te houden welke personen binnen de organisatie toegang hebben gehad tot de persoonsgegevens van Betrokkenen. Ieder van hen heeft het recht om hiernaar te vragen. Bij een verzoek moet je een overzicht kunnen geven op basis van logbestanden.
AFM over informatiebeveiliging
In 2018 vroeg de AFM instellingen uit over informatiebeveiliging. Een belangrijke bevinding daaruit is dat onder grote ondernemingen (>25fte) 31% geen informatiebeveiligingsbeleid heeft. Bijgaande infographic geeft kernachtig de conclusie van de AFM weer. In de principes voor informatiebeveiliging heeft de AFM aangegeven wat zij van marktpartijen verwacht.