6.1 Bescherming van (persoons)gegevens
persoons-gegevens
Behalve uw bedrijfsgegevens moet u er ook voor zorgen dat de persoonsgegevens van donateurs, werknemers, vrijwilligers en relaties buiten het bereik blijven van cyberboeven. Uw organisatie moet op basis van de AVG alle persoonsgegevens goed beveiligen. Toch zijn organisaties ook steeds vaker het doelwit van cyberaanvallen. De schade door cybercriminaliteit ligt de laatste jaren veel hoger dan schade door ‘gewone’ diefstal.
6.1.1 Beveiliging van persoonsgegevens
passende maatregelen
In de AVG staat dat u persoonsgegevens goed moet beveiligen. Met andere woorden, u moet op basis van de stand van de techniek, de omvang van de verwerking en het risico voor de betrokkenen passende maatregelen nemen. Hierbij gaat het bijvoorbeeld om:
- de versleuteling van persoonsgegevens;
- het verwerken van persoonsgegevens op zodanige wijze dat deze niet meer aan een specifieke betrokkene zijn te koppelen, zonder het gebruik van aanvullende gegevens.
Met de AVG wil de EU organisaties die slordig omgaan met de privacy van werknemers of relaties harder aanpakken. U moet tijdig melding doen van een datalek in uw organisatie. Op rendement.nl/bestuurdossier vindt u een checklist over de meldplicht datalekken.
6.1.2 Meldplicht datalekken
Vaak zijn organisaties onzeker over de manier waarop ze data moeten beveiligen en vrezen ze voor de gevolgen van een datalek.
Datalek
verlies
toegang
Een datalek is niks anders dan een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot:
- de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van persoonsgegevens;
- de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
binnen 72 uur
Is uw organisatie verantwoordelijk voor de persoonsgegevens die bloot zijn komen te liggen, dan moet u dit uiterlijk binnen 72 uur nadat u er kennis van heeft genomen melden aan de Autoriteit Persoonsgegevens.