De AVG-regels dwingen je om goed na te denken over hoe de organisatie persoonsgegevens verwerkt en beschermt. De verantwoordingsplicht houdt in dat je moet kunnen aantonen dat de verwerkingen aan de regels van de AVG voldoen.
Je moet bijvoorbeeld kunnen aantonen dat een verwerking aan de belangrijkste beginselen van verwerking voldoet, zoals rechtmatigheid, transparantie, doelbinding en juistheid.
Wat betekenen de begrippen privacy by design en privacy by default precies in? Hiermee dwing je een zorgvuldige omgang met persoonsgegevens organisatorisch en technisch af.
Privacy by design
Privacy by design houdt in dat je er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. En dat je de gegevens niet langer bewaart dan nodig is voor het doel van de verwerking.
Privacy by default
Privacy by default houdt in dat de standaardinstellingen van jouw product of dienst privacyvriendelijk zijn. Dit betekent dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat je, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken.
Bijvoorbeeld door:
- een app die je aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is;
- op de website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;
- als iemand zich op de nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.
Technische beveiligingsmaatregelen
Voorbeelden van technische maatregelen:
- logische en fysieke (toegangs-)beveiliging en beveiliging van apparatuur. Denk niet alleen aan kluizen en portiers, maar ook aan firewalls en netwerksegregatie;
- technisch beheer van de (zo beperkt mogelijke) autorisaties en bijhouden van logbestanden;
- beheer van technische kwetsbaarheden (patch management);
- software, zoals browsers, virusscanners en operating systems up-to- date houden;
- back-ups maken waarmee je de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig kunt herstellen. Overweeg of je dubbele systemen nodig hebt zodat het geheel goed blijft functioneren wanneer een onderdeel uitvalt;
- automatisch verwijderen van verouderde gegevens:
- versleuteling van gegevens;
- hashing. Organisaties kunnen hashing gebruiken als methode om persoonsgegevens te pseudonimiseren;
- minder gegevens op de servers verwerken en meer gegevensverwerkingen laten plaatsvinden op de apparatuur van de gebruiker zelf, zoals een smartphone.
Organisatorische beveiligingsmaatregelen
Voorbeelden van organisatorische maatregelen:
- Toewijzen van verantwoordelijkheden voor informatiebeveiliging.
- Bevorderen van beveiligingsbewustzijn bij bestaande en nieuwe medewerkers.
- Opstellen van procedures om op gezette tijdstippen de beveiligingsmaatregelen te testen, te beoordelen en te evalueren.
- Regelmatige controle van de logbestanden.
- Opstellen van een protocol voor de afhandeling van datalekken en beveiligingsincidenten.
- Sluiten van geheimhoudings- en verwerkersovereenkomsten.
- Beoordelen of je dezelfde doelen kunt behalen met minder persoonsgegevens.
- Minder mensen in de organisatie toegang geven tot persoonsgegevens.
- Per verwerking het besluitvormingsproces en de achterliggende overwegingen vastleggen.