• Nieuws
  • Corona
  • Blogs
  • Opleidingen
  • Partners
  • AV/FV
  • Vacatures
    • Kantoren
  • Salarisdag
  • Dossiers
  • Over ons
  • Adverteren
  • Contact
  • Vrienden
  • Twitter
  • LinkedIn
  • Mail
  • Spring naar de hoofdnavigatie
  • Door naar de hoofd inhoud
  • Spring naar de eerste sidebar
  • Spring naar de voettekst
Salaris Vanmorgen

  • Over ons
  • Adverteren
  • Contact
  • Vrienden
Aanmelden nieuwsbrief
  • Nieuws
  • Corona
  • Blogs
  • Opleidingen
  • Partners
  • AV/FV
  • Vacatures
    • Kantoren
  • Salarisdag
  • Dossiers
Home » Persoonsgegevens beveiligen en AVG: hoe zit het precies?

Persoonsgegevens beveiligen en AVG: hoe zit het precies?

Nieuws

Bedrijven en overheden die persoonsgegevens gebruiken, moeten deze volgens de AVG beveiligen om datalekken te  voorkomen.

16 februari 2022 door Salaris Vanmorgen

Volgens de Algemene verordening gegevensbescherming (AVG) moeten bedrijven en overheden voor het beveiligen van persoonsgegevens passende technische en organisatorische maatregelen nemen.

Organisaties moeten moderne techniek gebruiken om persoonsgegevens te beveiligen. Verder moeten ze niet alleen naar de techniek kijken, maar ook naar hoe ze als organisatie met persoonsgegevens omgaan. Wie heeft er bijvoorbeeld toegang tot welke gegevens?

Organisaties die persoonsgegevens gaan verzamelen, moeten vooraf nadenken over de beveiliging hiervan. Beveiliging van persoonsgegevens moet daarnaast binnen een organisatie een blijvend punt van aandacht zijn.

Als organisaties andere partijen inschakelen om persoonsgegevens te verwerken, moeten deze verwerkers voldoende maatregelen treffen om de gegevens te beveiligen. Organisaties die gegevensverwerking door een verwerker laten uitvoeren, blijven verantwoordelijk voor de naleving van de AVG.

Datalekregister en datalek melden

Elke organisatie moet een datalekregister bijhouden.

Heeft een organisatie een ernstig datalek? Dan moet de organisatie het datalek direct melden bij de Autoriteit Persoonsgegevens en soms ook aan de mensen van wie gegevens zijn gelekt.

Vijf vragen en antwoorden ten aanzien van persoonsgegevens beveiligen.

Vraag 1. Mag je persoonsgegevens delen via e-mail, app, cloudprovider x?

In de AVG staat niet expliciet dat het gebruik van deze diensten verboden is. Wel kan het in sommige gevallen als een ‘gebrek aan beveiliging’ worden gezien. Bijvoorbeeld wanneer je gevoelige persoonsgegevens opslaat in een gratis clouddienst. En deze dienst gratis is, omdat de aanbieder de gegevens verkoopt aan onbekende derden voor marketingdoeleinden.

Of het gebruik van deze diensten in jouw situatie passend is, is volledig afhankelijk van de risicoanalyse en het totale beveiligingsplan.

Vraag 2. Hoe kan je veilig persoonsgegevens via e-mail versturen?

Aan het verzenden van informatie via e-mail zitten risico’s. Dus wil je persoonsgegevens via e-mail versturen? Bijvoorbeeld gegevens over klanten, burgers of andere relaties? Dan ben je er als organisatie verantwoordelijk voor dat je die gegevens veilig verstuurt.

Je moet voor e-mail maatregelen treffen om te voorkomen dat onbevoegden toegang krijgen tot de informatie. In de wet staat niet precies omschreven welke maatregelen je moet treffen. Wel dat deze passend moeten zijn.

Twee voorbeelden van passende maatregelen.

  • Het versleutelen van de persoonsgegevens in een e-mailbijlage.
  • Het versleutelen van het e-mailverkeer tussen mailservers met een of meerdere moderne internetstandaard(en). Voorbeelden van moderne internetstandaarden zijn DANE, DKIM, PGP, S/MIME, SPF en STARTTLS.

Vraag 3. Moet je registreren (loggen) wie toegang heeft gehad tot gegevens?

In de AVG staat niet expliciet dat het loggen van wie toegang heeft gehad tot persoonsgegevens verplicht is. Wel is het in de meeste gevallen een noodzakelijke beveiligingsmaatregel.

Als organisatie moet je de persoonsgegevens die je verwerkt passend beveiligen. Door middel van logging worden gebeurtenissen op jouw systemen vastgelegd. Bijvoorbeeld, wie bepaalde gegevens heeft bekeken of aangepast. Maar ook pogingen om ongeautoriseerd toegang te krijgen.

Door de logbestanden regelmatig te controleren of automatisch te analyseren, kun je bijvoorbeeld inbreuken op de beveiliging ontdekken. Ook kun je datalekken signaleren. Of juist uitsluiten dat er een datalek is geweest.

Op basis van de verkregen informatie uit het loggen, kun je efficiënter in actie komen bij een datalek. En/of bepalen welke aanvullende technische en organisatorische maatregelen je moet treffen.

In sommige sectoren is logging wel verplicht. Het gaat dan om situaties waarin er met gevoelige persoonsgegevens wordt gewerkt, zoals in de zorg.

Vraag 4. Wat is meerfactorauthenticatie?

Authenticatie is het proces waarbij de identiteit van een gebruiker wordt gecontroleerd.

Meerfactorauthenticatie is een vorm van (toegangs)beveiliging waarbij de gebruiker zich met een combinatie van minimaal twee verschillende typen authenticatiefactoren moet authentiseren om toegang te krijgen tot een computer, (besturings)systeem of applicatie.

Drie mogelijke authenticatiefactoren zijn:

  1. Iets wat de gebruiker weet, bijvoorbeeld een wachtwoord, een pincode of de beantwoording op een beveiligingsvraag.
  2. Iets wat de gebruiker heeft, bijvoorbeeld een telefoon of een token.
  3. Iets wat de gebruiker is, bijvoorbeeld een biometrisch gegeven zoals een vingerafdruk, spraakherkenning of gezichtsherkenning.

Geen meerfactorauthenticatie

Een combinatie van hetzelfde type authenticatiefactor is géén meerfactorauthenticatie, bijvoorbeeld wanneer er meerdere combinaties van gebruikersnamen en wachtwoorden nodig zijn om toegang te krijgen.

Gebruikersnamen en wachtwoorden vallen beide binnen het type authenticatiefactor ‘iets wat de gebruiker weet’, waardoor deze combinaties niet als meerfactorauthenticatie kwalificeren.

Over het algemeen zijn de volgende voorbeelden géén authenticatiefactoren voor het gebruik van een computer of applicatie:

  • een toegangspas waarmee toegang wordt verkregen tot een ruimte waar meerdere mensen toegang hebben;
  • een unieke telefoon of unieke computer, tenzij de mobiele telefoon een tijdelijk paswoord of wachtwoord genereert of gebruik maakt van een ingebouwde authenticatiefactor;
  • een uniek IP-adres.

Voorbeelden van meerfactorauthenticatie zijn:

  • de combinatie van het gebruik van een wachtwoord én een eenmalig te gebruiken paswoord of wachtwoord (token) per sms;
  • de combinatie van een vingerafdruk én een wachtwoord;
  • de combinatie van een irisscan én een smartcard als token;
  • het gebruik van een app of hardwaretoken die wisselende wachtwoorden genereert in combinatie met een wachtwoord of pincode.

Vraag 5. Wat is pseudonimiseren?

Pseudonimiseren is een beveiligingsmaatregel waarbij persoonsgegevens worden verwerkt zonder dat daarbij duidelijk wordt over welke personen de gegevens gaan.

Bij pseudonimiseren van persoonsgegevens kunnen gegevens alleen nog herleidbaar zijn tot een specifiek persoon als er gebruik wordt gemaakt van aanvullende gegevens.

Pseudonimisering van persoonsgegevens is een verwerking van persoonsgegevens waarbij je je nog steeds moet houden aan de AVG.

Bij pseudonimisering moet je technische en organisatorische maatregelen nemen om ervoor te zorgen dat onbevoegden de koppeling met het bestand met aanvullende gegevens niet kunnen maken.

Bij pseudonimisering moet je rekening houden met informatie uit externe bronnen als de Basisregistratie Personen, de Kamer van Koophandel, het Kadaster, de Telefoongids, Facebook en Twitter. En met de ontwikkeling van nieuwe databronnen en -methoden.

Bevatten de gepseudonimiseerde gegevens een locatie, datum en tijd? Dan kan er mogelijk een koppeling worden gemaakt met bijvoorbeeld beschikbare camerabeelden of pintransacties.

Ook moet je als verwerkingsverantwoordelijke rekening houden met de ontwikkeling van nieuwe databronnen en -methoden waarmee pseudonieme gegevens alsnog te herleiden kunnen zijn.

Pseudonimisering is geen anonimisering

Zijn de gegevens volledig geanonimiseerd? Dan is de AVG niet meer van toepassing.

Geanonimiseerde gegevens zijn gegevens die helemaal geen betrekking meer hebben op individuen. Er mogen bij anonimisering dus géén aanvullende gegevens beschikbaar zijn waarmee iemand alsnog een koppeling kan maken met een specifiek persoon.

Bron: Beveiliging van Persoonsgegevens op de site van de Autoriteit Persoonsgegevens

 

Categorie: Nieuws Tags: Algemene Verordening Gegevensbescherming (AVG), Autoriteit Persoonsgegevens, datalek, persoonsgegevens

Tags: Algemene Verordening Gegevensbescherming (AVG), Autoriteit Persoonsgegevens, datalek, persoonsgegevens

Gerelateerde artikelen

31 mei 2022

Bijna 25.000 meldingen van datalekken in 2021

19 mei 2022

AVG-verzoek inzage persoonsgegevens: geen verstrekking documenten

17 mei 2022

Nieuwe regels voor berekening boetes bedrijven bij overtreding AVG

10 mei 2022

UWV publiceert WGA-instroomcijfers sinds 2022 niet meer

Hoofdsponsor

Vakantiewerk in jouw organisatie: voordelen en regels op een rij
Zo kijkt Lois, Junior Salarisprofessional van het jaar, terug op de verkiezing
Hoe werkgevers medewerkers met schulden kunnen helpen
5 verschillen tussen Nederlandse en Belgische medewerkers
‘Respijt voor NOW 1’ zet ondernemers op verkeerde been
Highlights uit het nieuwe pensioenstelsel
Doorstuderen na VPS: wat kun je doen?
Hoe kun je verzuim binnen jouw organisatie terugdringen?

Partners

Vakantiewerk in jouw organisatie: voordelen en regels op een rij
Zo kijkt Lois, Junior Salarisprofessional van het jaar, terug op de verkiezing
Hoe werkgevers medewerkers met schulden kunnen helpen
5 verschillen tussen Nederlandse en Belgische medewerkers
‘Respijt voor NOW 1’ zet ondernemers op verkeerde been
Highlights uit het nieuwe pensioenstelsel
Doorstuderen na VPS: wat kun je doen?
Hoe kun je verzuim binnen jouw organisatie terugdringen?

Meest gelezen berichten

  • Loonbelastingtabellen 2022 – witte en groene tabellen
  • Betaald ouderschapsverlof per 2 augustus en andere verlofregelingen
  • Twee fulltime banen – boete voor overtreden nevenwerkzaamhedenbeding
  • Einde handhavingsmoratorium per 2025 – aanpak schijnzelfstandigheid
  • Schadevergoeding na ontslag is belastbaar loon uit dienstbetrekking

NIRPA

Opleidingen

04
jul
Online Excel training voor salarisadministrateurs (specialisatie)
Salaris Vanmorgen
01
sep
HR voor Salarisadministrateurs
Markus Verbeek Praehep
12
sep
Cursus Samenwerken financiële- en salarisadministratie
Salaris Vanmorgen
15
sep
Cursus Van salarisadministrateur naar beloningsadviseur (basis)
Salaris Vanmorgen
19
sep
HBO Associate degree Payroll Services
Markus Verbeek Praehep
19
sep
Werkkostenregeling PE
Markus Verbeek Praehep
19
sep
HBO Bachelor Management Payroll Services
Markus Verbeek Praehep
19
sep
Vakopleiding Payroll Services (VPS®)
Markus Verbeek Praehep
22
sep
Tweedaagse online Excel training voor de salarisadministrateur (verdieping en specialisatie)
Salaris Vanmorgen
22
sep
Online Excel training voor de salarisadministrateur (verdieping)
Salaris Vanmorgen
28
sep
Online cursus Werkkostenregeling
Salaris Vanmorgen
04
okt
Cursus Impact nieuwe Wet Toekomst Pensioenen per 1 januari 2023
Salaris Vanmorgen
04
okt
Cursus Inkomstenbelasting voor de salarisadministrateur
Salaris Vanmorgen
06
okt
Online cursus Wet bedrag ineens, RVU en verlofsparen
Salaris Vanmorgen
13
okt
Online cursus loonheffingen en hybride werken
Salaris Vanmorgen
01
nov
Cursus Werkkostenregeling
Salaris Vanmorgen
07
nov
Cursus Van salarisadministrateur naar beloningsadviseur (verdieping)
Salaris Vanmorgen
08
nov
Cursus Samenwerken tussen de HR-afdeling en salarisadministratie
Salaris Vanmorgen
10
nov
Online Excel training voor de salarisadministrateur (basis)
Salaris Vanmorgen
10
nov
Cursus Werkkostenregeling bij gemeenten (introductie)
Salaris Vanmorgen
06
dec
Online cursus Update Werkkostenregeling bij gemeenten (verdieping)
Salaris Vanmorgen
07
dec
Compensation & Benefits Consultant (CBC®)
Markus Verbeek Praehep

Vacatures

Corporate International Payroll Controller – B&S Dordrecht
Strictly People B&S
Parttime/Fulltime Salarisadministrateur- Denekamp
De Kok
Senior salarisadministrateur Bussum
Moore MTH
Salarisadministrateur – Intergamma Leusden
Strictly People
Senior salarisadviseur (Raalte)
De Jong & Laan
Intern salarisadministrateur / payroll specialist
HLB Witlox Van den Boomen
Senior Salarisadministrateur- Gorinchem
acconavm
Salaris/HR adviseur
Bentecera
Payroll Professional
CROP
Salarisadministrateur (m/v/x) 16 tot 40 uur mogelijk. Remote, hybride of in Den Haag
Duits-Nederlandse Handelskamer
Professional – Loonadministrateur Onderwijs
Van Oers Accountancy & Advies
Fiscount zoekt een specialist sociale zekerheid
Fiscount
Traineeship HR-payroll consultant | Regio Apeldoorn
a/s WORKS
International Payroll Specialist – Ultimaker (Remote)
Strictly People (Ultimaker)
Salarisadministrateur – Wensink Zwolle
Strictly People
Payroll Specialist – Philips Domestic Appliances Amsterdam
Strictly People | Philips Domestic Appliances Amsterdam
Ervaren salarisadministrateur
HLB Witlox Van den Boomen
Payroll Specialist – Q8 Den Haag
Strictly People - Q8
(Sr.) Loonadministrateur
Scab
Salarisadviseur (Hoogeveen)
de Jong & Laan
Junior salarisadministrateur
acconavm
Junior salarisadministrateur
Moore MTH
Salarisadministrateur bij de Caesar Groep
Caesar Groep
Payroll Specialist – Netcompany Delft
Strictly People
(Ervaren) Salarisadministrateur parttime/fulltime
Payroll Totaal
Senior salarisadministrateur, Gorinchem
acconavm
Salarisadviseur (Harderwijk)
De Jong & Laan
Loonadviseur
Scab
Specialist arbeidsrecht
Fiscount
Salarisadministrateur 24-40 uur per week in Ridderkerk (€2.600-€ 3.800)
Lansigt accountants en belastingadviseurs
Medior salarisadministrateur
Moore MTH
Specialist loonheffingen (Hoogeveen/Groningen)
De Jong & Laan
Medior / Senior salarisadministrateur Software Gemak – Utrecht
a/s Works
Traineeship Loonadministratie & Advies
Scab
Ervaren medewerker administratieve dienstverlening Nieuwegein, 32-40 uur
van helder
Professional – Loonadministrateur
Van Oers Accountancy & Advies
Salarisadministrateur / AFAS Payroll Barendrecht e.o.
Visser & Visser
Professional – Loonadministrateur
Van Oers
Professional salarisadministrateur
Bentecera
Payroll consultant Zoetermeer
a/s Works
Traineeship HR Payroll Consultant | Randstad – Randstad
a/s Works
Teamleider Salarisadvies
HLB Witlox Van den Boomen
Senior Salarisadministrateur Eindhoven
KSS (onderdeel van Wij zijn Jong)
Senior Salarisadministrateur – Veenendaal
acconavm
Payroll consulent (32-40 uur)
BROADSTREET

Vriend van Salaris Vanmorgen

Moore mth
abonneer nieuwsbrief FV

Salaris Vanmorgen (SV) is het platform voor salarisadministrateurs met nieuws en verdieping op het gebied van salarisadministratie.

Salaris Vanmorgen is een uitgave van MOCuitgevers.

 

Categorie

  • Nieuws
  • Corona
  • Blogs
  • Opleidingen
  • Partners
  • AV/FV
  • Vacatures
    • Kantoren
  • Salarisdag
  • Dossiers

Info

  • Over ons
  • Adverteren
  • Contact
  • Algemene voorwaarden MOCuitgevers Vanmorgen
  • Annuleringsvoorwaarden
  • Privacybeleid
  • Twitter
  • LinkedIn
  • Mail
logo FV