U bent hier

6.1 Bescherming van (persoons)gegevens

Dit artikel is eerder verschenen als Themadossier Bestuur Rendement
Publicatiedatum: april 2022

persoons-gegevens

Behalve uw bedrijfsgegevens moet u er ook voor zorgen dat de persoonsgegevens van donateurs, werknemers, vrijwilligers en relaties buiten het bereik blijven van cyberboeven. Uw organisatie moet op basis van de AVG alle persoons­gegevens goed beveiligen. Toch zijn organisaties ook steeds vaker het doelwit van cyberaanvallen. De schade door cybercriminaliteit ligt de laatste jaren veel hoger dan schade door ‘gewone’ diefstal.

6.1.1 Beveiliging van persoonsgegevens

passende maatregelen

In de AVG staat dat u persoonsgegevens goed moet beveiligen. Met andere woorden, u moet op basis van de stand van de techniek, de omvang van de verwerking en het risico voor de betrokkenen passende maatregelen nemen. Hierbij gaat het bijvoorbeeld om:

  • de versleuteling van persoonsgegevens;
  • het verwerken van persoonsgegevens op zodanige wijze dat deze niet meer aan een specifieke betrokkene zijn te koppelen, zonder het gebruik van aanvullende gegevens.

Met de AVG wil de EU organisaties die slordig omgaan met de privacy van werknemers of relaties harder aanpakken. U moet tijdig melding doen van een datalek in uw organisatie. Op rendement.nl/bestuurdossier vindt u een checklist over de meldplicht datalekken.

6.1.2 Meldplicht datalekken

Vaak zijn organisaties onzeker over de manier waarop ze data moeten beveiligen en vrezen ze voor de gevolgen van een datalek.

Datalek

verlies

toegang

Een datalek is niks anders dan een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot:

  • de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van persoonsgegevens;
  • de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

binnen 72 uur

Is uw organisatie verantwoordelijk voor de persoonsgegevens die bloot zijn komen te liggen, dan moet u dit uiterlijk binnen 72 uur nadat u er kennis van heeft genomen melden aan de Autoriteit Persoonsgegevens.