Avg uitgelegd: welke beveiligingsmaatregelen moet ik nemen?

In de serie Avg uitgelegd nemen we de belangrijkste begrippen uit de Avg onder de loep. Tip: wil je de basis van de Avg nog eens doornemen? Begin dan bij 10 vragen en antwoorden over de Avg. In dit artikel gaan we in op misschien wel de belangrijkste verplichting voor de verwerker: het nemen van beveiligingsmaatregelen.

Wat zegt de Avg over de plicht om te beveiligen?

De Avg zegt dat zowel de verwerker als de verwerkingsverantwoordelijke ‘rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, passende technische en organisatorische maatregelen moeten treffen om een op het risico afgestemd beveiligingsniveau te waarborgen’. De wet zegt ook dat de beveiligingsmaatregelen, waar passend, onder meer ‘een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking’ moeten bevatten.

Download checklist Beveiligingsmaatregelen

Dit product is alleen voor leden

Ben je nog geen lid van NLdigital maar ben je wel geïnteresseerd in meer informatie over het lidmaatschap? Lees hier meer over ons lidmaatschap.

Zegt de Avg welke beveiligingsmaatregelen ik moet nemen?

De Avg geeft geen concrete regels welke beveiligingsmaatregelen een verwerker moet nemen. Dat kan natuurlijk ook niet. Een landelijk elektronisch patiëntendossier vereist nu eenmaal een ander soort beveiliging dan een klantenbestand van een mkb’er met een handvol NAW-gegevens. Daarbij verandert de techniek en de wereld voortdurend en moet je je beveiliging steeds verbeteren. Een harde wettelijke norm zou dan ook veel te snel verouderen. Iedere verwerker, maar ook iedere verantwoordelijke moet dus afwegingen en keuzes maken met betrekking tot beveiliging en beoordelen of die in zijn geval passend zijn.

Zo kan een SaaS-leverancier die software maakt voor de administratie van verenigingen zelf kiezen voor een redelijk standaardniveau van beveiliging. Zijn inschatting is dan dat de risico’s bij zijn klanten niet zo groot zijn. Maar als nu blijkt dat het niet gaat om de vereniging van vogelliefhebbers, maar om een patiëntenvereniging, dan zou de afweging voor de verantwoordelijke patiëntenvereniging wel eens anders kunnen zijn. Het dwingt een ICT-leverancier in feite om goed af te wegen waar zijn product of dienst voor bedoeld is, wat voor soort persoonsgegevens ermee verwerkt worden en wat daarbij de risico’s kunnen zijn voor betrokkenen. De verwerkingsverantwoordelijke moet vervolgens beoordelen of de gekozen beveiliging ook in zijn situatie (die de verwerker misschien niet altijd kent) ook daadwerkelijk voldoende is.

Wat zegt de Data Pro Code over beveiligingsmaatregelen?

In de Data Pro Code is daarom op meerdere plekken aandacht besteed aan dit onderwerp. In de code is uitgewerkt welke elementen van belang zijn bij het omschrijven en beoordelen van je eigen dienstverlening. Die omschrijving dient weer als basis voor het uitwerken van de beveiliging. Welke beveiligingsmaatregelen uiteindelijk genomen worden, is een individuele keuze van de leverancier (en je klant). Deze moet volgen uit de afwegingen die partijen maken omtrent beveiliging. Om ICT-verwerkers te helpen bij hun keuzes, heeft NLdigital een checklist beveiligingsmaatregelen gemaakt. Deze is voor leden gratis te downloaden.

Wat is een Information Security Management System (ISMS)?

De wet eist ook dat je een procedure hebt om je beveiliging te testen, beoordelen en evalueren. Het doel daarvan is de beveiliging steeds weer aan te passen en te verbeteren. Een dergelijke procedure wordt ook wel een Information Security Management System (ISMS) genoemd. Je kunt zelf invulling geven aan deze procedure. Je kunt ook gebruik maken van een van de vele bestaande procedures en die voor je eigen producten en diensten invullen. De bekendste zijn misschien wel ISO 27001 of NEN 7510. Veel van deze procedures zijn behoorlijk uitgebreid en ingewikkeld of toegespitst op een bepaalde branche of toepassing. Daarom zijn ze niet voor iedereen geschikt. NLdigital heeft een eenvoudig basis-ISMS ontwikkeld, dat geschikt is voor gebruik door kleine verwerkers.

Download stappenplan ISMS

Dit product is alleen voor leden

Ben je nog geen lid van NLdigital maar ben je wel geïnteresseerd in meer informatie over het lidmaatschap? Lees hier meer over ons lidmaatschap.

Wat moet ik over beveiliging vastleggen in de verwerkersovereenkomst?

Tot slot eist de Avg dat verwerkingsverantwoordelijke en verwerker schriftelijke afspraken maken in een verwerkersovereenkomst, onder andere over beveiliging. Het is verstandig voor een verwerker om zo concreet mogelijk de relevante beveiligingsmaatregelen vast te leggen. Neem niet alleen op dat partijen ‘passende technische en organisatorische maatregelen’ zullen nemen. Met een dergelijke algemene zin is niet goed te bepalen wie nu waarvoor zal zorgdragen. De Avg lijkt nu juist te eisen dat er meer concreet wordt vastgelegd welke maatregelen er daadwerkelijk genomen worden. Het voordeel van het vastleggen van concrete afspraken is ook dat een verwerkingsverantwoordelijke zo beter in staat wordt gesteld zelf te bepalen of de beveiliging in zijn situatie voldoende is, of dat er aanvullende maatregelen (bij hem intern, of bij de verwerker) nodig zijn. Daarnaast helpen goede afspraken vooraf om discussies over verantwoordelijkheid bij beveiligingsincidenten te voorkomen.

NLdigital heeft een Standaard verwerkersovereenkomst ontwikkeld, deze is voor leden gratis te downloaden. Niet-leden kunnen deze overeenkomst tegen betaling aanschaffen.

Meer informatie en vragen

Onze juristen geven advies en ondersteuning bij vraagstukken op het gebied van privacy. Heb je vragen of wil je meer informatie? Kijk dan in onze kennisbank of neem contact op met onze juristen.


Deel via:

Paula Hooyman

Jr. jurist
Neem contact op met
Paula Hooyman

Gerelateerde artikelen

3 gevaarlijke mythes over privacy en hoe je ze effectief ontkracht

Rondom privacy bestaat veel onbegrip in de samenleving. In deze blog delen we drie hardnekkige mythes over privacy om jou…
Avg & privacy

Een datalekkenprotocol: waarom is dat belangrijk?

Met een datalekkenprotocol is duidelijk wat je moet doen in het geval dat er zich een incident voordoet, weet je…
Avg & privacy

Voorbeeld datalekkenprotocol

Voor datalekken geldt uiteraard: voorkomen is beter dan genezen. Maar in het geval dat het toch misgaat, is het goed…
Avg & privacy