DIRECT CONTACT 0342 745020

Technische maatregelen AVG

 

Per 25 mei 2018 zal er een wijziging zijn in de wet met betrekking tot de bescherming van persoonsgegevens. Ook wel: algemene verordening gegevensbescherming (AVG/GDPR). Deze wet legt meer verantwoordelijkheid bij u als organisatie om aan te tonen dat uw organisatie voldoet aan de privacyregels.  

 

Wat zijn persoonsgegevens?

Er zijn erg veel verschillende soorten persoonsgegevens. Denk hierbij voornamelijk aan een naam, adres en telefoonnummer. Deze worden door de wet extra beschermd. Toelichting op persoonsgegevens van de wet: artikel 1 

 

Regels van de AVG/GDPR

De nieuwe regels dwingen organisaties om goed na te denken hoe de persoonsgegevens worden verwerkt en beschermd. De verantwoordingsplicht die ingesteld wordt houdt in dat organisaties moeten kunnen aantonen dat de privacygegevens verwerkt worden aan de hand van de regels van de AVG/GDPR.  

Organisaties moeten kunnen aantonen dat de verwerking aan de volgende aspecten voldoet: rechtmatigheid, transparantie, doelbinding en juistheid. Tevens moet er aangetoond kunnen worden dat de juiste technische maatregelen zijn genomen om persoonsgegevens te beschermen.  

 

Belangrijke eisen en veranderingen

Toestemming

Met de komst van de nieuwe AVG/GDPR is er voortaan toestemming nodig van mensen (klanten / patiënten) om hun gegevens te mogen verwerken. Wil uw klant niet dat zijn/haar gegevens worden verwerkt? Dan hebben zij het recht om hun toestemming in te trekken.  

Dataminimalisatie

Dataminimalisatie houdt in dat u niet té veel gegevens van uw klanten mag verwerken. Dit betekent dat u niet meer informatie mag vragen dan wat nodig is om het systeem compleet te krijgen.

Functionaris van gegevensbescherming

Bent u werkzaam in de gezondheidszorg of verwerkt u gevoelige persoonsgegevens? Organisaties kunnen volgens de AVG verplicht worden om iemand aan te stellen als een functionaris van gegevensbescherming. Dit is iemand die toezicht houdt op het naleven van de AVG. Deze functionaris moet voldoende kennis hebben van uw organisatie, uw data en van gegevensbescherming. Een functionaris is verplicht in de gezondheidszorg en onderwijsinstellingen.  

Documenteren

  • Organisaties moesten gaan vastleggen welke maatregelen er worden genomen om de persoonsgegevens te verwerken. Denk hierbij aan de technische- en organisatorische maatregelen; 
  • De verwerkingsactiviteiten van persoonsgegevens moeten worden vastgelegd; 
  • De datalakken die plaatsvinden moeten worden bijgehouden (en indien nodig worden gemeld).  
Datalekken: Hier spreek je van als persoonsgegevens in bezit komen van derden die geen toegang mogen hebben tot deze gegevens. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat dit om uitgelekte computerbestanden. Andere voorbeelden: cyberaanvallen, een e-mail verzonden naar het verkeerde adres, een gestolen laptop en een verloren USB-stick.  
  • Het uitvoeren van een gegevensbeschermingsbeoordeling 

Deze beoordeling wordt officieel de Data Protection Impact Assessment (DPIA) genoemd. Dit is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Om vervolgens de juiste maatregelen te kunnen nemen om deze risico’s te verkleinen.  

Organisaties hoeven niet voor elke gegevensverwerking deze DPIA uit te voeren. Dit is enkel verplicht als een gegevensverwerking een hoog privacyrisico’s oplevert voor de betrokkenen (klanten, patiënten).  

Wanneer u niet aan de eisen voldoet van de AVG/GDPR zijn zij bevoegd om hoge boetes op te leggen.  

 

Wat kan mijn organisatie zelf doen?

  • Laat uw medewerkers zo min mogelijk persoonsgegevens opslaan op hun lokale harde schijven
  • Vernietigt of verkoopt u oude hardware? Zorg dat alle data onleesbaar is gemaakt. (Het is niet genoeg om dit enkel te verwijderen)
  • Geeft u bezoekers/gasten toegang tot een draadloos netwerk? Creëer dan een afzonderlijk gastennetwerk en scherm dit af van andere apparaten
  • Werken uw medewerkers vanuit huis? Dan moeten zij daarbij extra voorzichtig zijn. Gebruik voor het thuis werken een beveiligde (VPN)verbinding

 

Welke technische maatregelen kunnen er genomen worden?

  • Gebruik encryptie en beveiligingscertificaten
  • Pas een wachtwoordbeleid toe
  • Pas Multi Factor Authenticatie toe
  • Zorg voor een complete documentatie
  • Zorg voor een goede back-up met retentie
  • Zorg voor een slimme firewall met licenties
  • Zorg voor gescheiden en veilige IT-netwerken
  • Centraliseer de toegang van accounts
  • Maak gebruik van frequent werkplekbeheer voor updates en patches
  • Maak gebruik van monitoring en registratie
  • Controleer met frequentie of de bovenstaande maatregelen juist functioneren

 

Hoe kunnen wij u van dienst zijn?

Is uw organisatie klaar voor de AVG/GDPR, voldoet u aan alle eisen of twijfelt u? Wij kunnen uw organisatie scannen op de veiligheid en voorzien van de juiste technische maatregelen.

 

Help

Verdere toelichting op:

 

Gezondheidszorg

MKB