Als u het vertrouwen van uw klanten wilt, wees dan open over hoe u met data omgaat en persoonsgegevens beveiligt. De beveiliging van persoonsgegevens (data) is een belangrijk onderdeel van de aangepaste privacy wetgeving (AVG) die in mei 2018 ingaat.

Wat zijn Persoonsgegevens

Allereerst wat wordt verstaan onder het begrip persoonsgegevens? Een persoonsgegeven is informatie die direct of indirect herleidbaar is naar een natuurlijk persoon. Ook technische gegevens zoals we die kennen uit computernetwerken (zoals inlognamen, wachtwoorden, IP-adressen e.d.) die te herleiden zijn tot een persoon vallen onder dit begrip.  Gegevens van bijvoorbeeld zakelijke contactpersonen (naam, zakelijk e-mailadres) bij klanten en leveranciers zijn eveneens persoonsgegevens. Al deze gegevens dient u te beveiligen. Hierbij is beveiliging met een wachtwoord of een firewall vaak al lang niet meer toereikend.

Encryptie en AVG

Een tegenwoordig meer voorkomende vorm van beveiliging is encryptie, pseudonomisering en anonimisering.  Bij gebruikmaking hiervan wil dit echter nog niet zeggen dat de AVG niet van toepassing is. Data van persoonsgegevens worden pas als anoniem gekwalificeerd indien geen enkele mogelijkheid bestaat  waarop de data herleid kan worden naar een bepaald persoon. Vaak blijven er nog genoeg mogelijkheden over in de data die het mogelijk maken om deze weer te herleiden naar een persoon. De paradox hierbij is dat hoe beter de data-analyses worden door gebruikmaking van steeds geavanceerdere technieken hoe lastiger het is om persoonsgegevens anoniem te maken.

Gepseudonimiseerde data valt onder AVG

De AVG is expliciet wel van toepassing op gepseudonimiseerde data (dit is eigenlijk een vorm van encryptie). Het doel hiervan is om de ‘persoon’ uit de persoonsgegevens te halen. Hierdoor wordt de data binnen de context anoniem. Buiten de context is identificatie nog altijd mogelijk. De persoonsgegevens zijn weliswaar versleuteld maar de sleutel bestaat nog, waardoor de persoonsgegevens te achterhalen zijn. De AVG beschouwt pseudonimisering als een geschikte vorm van beveiliging, maar niet als middel om onder de AVG uit te komen.

Risicoanalyse

Het huidige securitytijdperk vraagt om maatregelen die zorgen dat data goed wordt beschermd, maar die bovendien helpen detecteren wanneer een dreiging zich aandient, om hierop tijdig te kunnen reageren en om de normale situatie zo snel mogelijk te herstellen. Hiervoor is het van belang om periodiek een gedegen risicoanalyse uit te voeren die de waarschijnlijkheid en de ernst van mogelijke inbreuken in kaart brengt. De inbreuk op de rechten en vrijheden van natuurlijke personen dient u hierbij centraal te stellen. Het is hierbij niet de vraag of u hiermee te maken krijgt maar meer wanneer het u overkomt. Wees dus voorbereid en tref tijdig de juiste technische en organisatorische maatregelen.