Sinds 2016 moeten alle bedrijven, organisaties en overheden binnen de EU zich houden aan de AVG, de Algemene Verordening Persoonsgegevens. In de AVG wordt geregeld dat iedereen die met persoonsgegevens omgaat dat veilig moet doen en dat er geen onbevoegden toegang kunnen krijgen tot die gegevens. Maar wat zijn persoonsgegevens en hoe wordt er in de AVG geregeld dat die beschermd zijn? En wanneer geldt eigenlijk de NTA 7516-norm voor het werken met persoonsgegevens? Je leest het allemaal in deze blog.
De AVG staat voor Algemene Verordening persoonsgegevens. Deze Europese verordening is geldig in de hele EU en is in het leven geroepen om privégegevens van mensen te beschermen. In internationaal verband wordt vaak de Engelse term voor de AVG gebruikt: GDPR (General Data Protection Regulation).
In Nederland ziet de Autoriteit Persoonsgegevens (AP) toe op de naleving van AVG. De AP kan flinke boetes opleggen aan organisaties die de AVG overtreden. En ondanks deze regelgeving zijn er jaarlijks aardig wat organisaties die (on)bewust de regels overtreden. Daar zitten ook veel kleinere lekken bij, zoals die van de AP zelf toen ze vergeten waren ontvangers van een mail in het bcc-veld in plaats van het cc-veld te zetten. Het begint natuurlijk met welke gegevens onder de AVG vallen. Kortom: wat zijn die persoonsgegevens precies?
Persoonsgegevens zijn alle gegevens die herleidbaar zijn naar een persoon. Dat begrip is ruim en er valt heel veel verschillende informatie onder. Denk bijvoorbeeld aan:
Deze lijst kun je zo lang maken als je wilt. Ook een lidmaatschap van een sportclub, het kenteken van je auto of de krant die je thuis ontvangt zijn persoonsgegevens. Naast de bovenstaande standaardgegevens is er nog de categorie bijzondere persoonsgegevens waar extra strenge regels voor gelden.
Naast de gewone persoonsgegevens zijn er ook nog de bijzondere persoonsgegevens. Wie daarmee te maken heeft moet nog voorzichtiger te werk gaan. Deze groep bijzondere gegevens kan zeer gevoelige informatie bevatten, zoals afkomst, religie, politieke voorkeur en bijvoorbeeld lidmaatschap van bepaalde verenigingen. Maar ook gezondheidsgegevens, genetische informatie en biometrische data vallen hieronder.
Alle gegevens die als bijzonder persoonsgegeven worden gezien zijn extra beschermd onder de AVG. Voor overheden, de juridische sector en de zorg geldt daarom de NTA 7516-norm als je dit soort gegevens per mail wil versturen. Die norm is in het leven geroepen om dit soort gevoelige data extra goed te beschermen tegen mogelijke datalekken.
In de AVG staat omschreven hoe bedrijven, instanties en overheden met persoonlijke gegevens om moeten gaan. In het kort gelden daarvoor de volgende basisregels:
Het is toegestaan om persoonsgegevens per mail te versturen. Maar daar zijn dan wel de nodige regels aan verbonden. Zo moet je de juiste versleuteling gebruiken en ervoor zorgen dat alleen de juiste mensen de mail krijgen. Voor het mailen van bijzondere persoonsgegevens gelden strengere eisen dan het versturen van normale persoonsgegevens. Wie werkt in de zorg, juridische sector of bij bijvoorbeeld een gemeente, moet aan de NTA 7516-norm voldoen. Er zijn een aantal dingen waar je als verzender en ontvanger van persoonsgegevens rekening mee moet houden:
Opslaan van de gegevens: laat e-mails met persoonsgegevens nooit lang in je inbox staan. Sla ze, als je de gegevens moet bewaren, op de juiste plaats en verwijder de e-mail. Houd er ook rekening mee dat de AVG-beperkingen oplegt aan hoe lang je bepaalde gegevens mag bewaren.
Versleuteling: Bijzondere persoonsgegevens mogen niet zomaar per mail worden verzonden. Berichten met bijzondere persoonsgegevens in de mail of in het attachment mogen alleen beveiligd worden verstuurd. Wist je dat Smartlockr automatisch detecteert of gegevens versleuteld moeten worden? Als het nodig is, versleutelt Smartlockr de berichten voor je zonder dat jij iets hoeft te doen.
Gebruik multifactor-authenticatie: Dit zorgt ervoor dat gevoelige informatie niet bij de verkeerde persoon terecht kan komen. Daarmee kun je een datalek heel eenvoudig voorkomen. Het type multifactor-authenticatie dat je nodig hebt, is onder andere afhankelijk van de persoonlijke gegevens die in je bericht staan.
In een groeiende digitale samenleving is er een steeds grotere behoefte om persoonsgegevens te kunnen delen met collega's, klanten en partners. De publieke en private sector wisselen dagelijks dit soort informatie uit. Maar dat moet dan natuurlijk wel veilig gebeuren. Hoe? Volg onderstaand stappenplan en ontdek wat jij nodig hebt. Wil je zeker zijn van foutloze omgang met de data binnen jouw organisatie? Download ons gratis Whitepaper en leer hoe je een datalek te slim af kunt zijn.
Stap 1: Beoordeel de informatie
Beoordeel welke informatie die je verwerkt gevoelig is of kan zijn. Daar horen onder andere persoonsgegevens bij. Maar voor veel organisaties geldt dat er ook andere (bedrijfs)gegevens zijn die niet in verkeerde handen mag komen.
Stap 2: Wat zijn de zwakke punten in de communicatieketen?
Maak een risicobeoordeling en identificeer mogelijke zwakke punten in de communicatie. Verstuur je bijvoorbeeld een fax? Dan is het onmogelijk om 100 % zeker te zijn dat de bedoelde ontvanger bij het faxapparaat is wanneer jouw bericht uit de fax rolt. Een koerier als alternatief? Dat lijkt een prima plan, maar er is altijd de kans dat ze je documenten bij de verkeerde ontvanger bezorgen.
Stap 3: Wat is de oplossing die hierbij past?
Nu je de risico’s kent is het zaak deze te pakken met de juiste oplossing. Vaak is dat een combinatie van enkele oplossingen. Het aanstellen van mensen die verantwoordelijk zijn voor de beveiliging is een eerste mogelijkheid. Maar ook het continu trainen van je medewerkers hoort erbij. Een erg handige manier om je cyberveiligheid op orde te krijgen is het gebruik van digitale oplossingen die je helpen met encryptie, authenticatie, opslag enzovoort.
Smartlockr beschermt jouw gevoelige gegevens - van persoonlijke informatie tot zakelijke gegevens. Lees meer over hoe je jouw organisatie kunt beschermen tegen datalekken in het gratis e-book. Deze download je hieronder.