Op 25 mei 2018 is het zover. Dan geldt in de hele EU de Algemene Verordening Gegevensbescherming (AVG). Deze vervangt de huidige Wet Bescherming Persoonsgegevens (Wbp). De AVG, ook wel bekend als de General Data Protection Regulation (GDPR), is wetgeving die bedoeld is om de privacy van Europese burgers te beschermen.

De wet verplicht organisaties dat zij er alles aan moeten doen wat redelijkerwijs verwacht mag worden om het uitlekken van gevoelige gegevens te voorkomen. Naast dat er een meldplicht is voor datalekken, kun je torenhoge boetes krijgen, tot maximaal twintig miljoen euro of vier procent van de wereldwijde jaaromzet. Het nemen van beschermende maatregelen is dan ook geen overbodige luxe.

1 Data en risico's inventariseren

De privacywetgeving is van toepassing op persoonsgegevens. Daarom moet je een register bijhouden van alle persoonsgegevens die je als bedrijf opslaat en verwerkt. In dat register houd je bij welke persoonsgegevens je verwerkt, op welke manier dat gebeurt, waar die verwerking plaatsvindt en met welk doel je dat doet. Je moet inzicht hebben in alle data, dus ook die in de cloud en op mobiele apparaten. Vervolgens kun je per datasoort een bijpassend beveiligingsniveau bepalen.

Een register is niet de enige verplichting. Levert een verwerking waarschijnlijk een groot risico op voor de betrokkenen, dan moet je een zogenaamde Data Protection Impact Assessment uitvoeren. Daarmee breng je de risico's van de gegevensverwerking in kaart, zodat je de juiste maatregelen kunt treffen om deze risico's te verkleinen. Organisaties die op grote schaal persoonsgegevens verwerken, moeten daarnaast nog een Data Protection Officer (DPO) aanstellen. Als onafhankelijke interne toezichthouder en om contact te onderhouden met de Autoriteit Persoonsgegevens.

2 Beschermen tegen kwaadwillenden

Een datalek kan op verschillende manieren ontstaan. Bijvoorbeeld doordat hackers een bedrijfssysteem binnen weten te dringen, of doordat malware stilletjes op de achtergrond gegevens doorsluist. Om je hiertegen te beschermen zijn de reguliere beveiligingsmaatregelen nodig, zoals anti-DDoS, endpoint protection-oplossingen, next generation firewalls, spamfilters en inbraakdetectiesystemen.

Verder is het nodig om zowel de hardware als de software continu up-to-date te houden. Want vaak slaagt een aanval dankzij een zwakke plek in de firmware of in het besturingssysteem, terwijl er al maandenlang een patch voor beschikbaar is. Je kunt dan onmogelijk tegenover de Autoriteit Persoonsgegevens volhouden dat je er alles aan hebt gedaan om het datalek te voorkomen.

3 Onbedoelde datalekken

Een medewerker kan onbedoeld een datalek veroorzaken. Denk aan een e-mail die naar de verkeerde adressen wordt gestuurd, een e-mail met een verkeerd bestand of document als bijlage, een usb-stick die verloren raakt, of een laptop die wordt gestolen. Daarom is het zaak om je medewerkers bewust te maken van de risico's die het werken met privacygevoelige gegevens met zich meebrengt. Benadruk hierbij ook dat hoe onschuldig een foutje misschien lijkt, het belangrijk is om dit meteen te melden zodat er maatregelen getroffen kunnen worden. Medewerkers moeten daarbij niet het gevoel krijgen dat ze direct bestraft worden. Dat zou immers de meldingsbereidheid niet ten goede komen.

4 De juiste toegangsrechten

Je moet de toegangsbeveiliging op orde hebben om de data veilig te houden. Geef medewerkers alleen toegang tot informatie die ze echt nodig hebben voor het uitoefenen van hun taken. Beperk ook de fysieke toegang tot bijvoorbeeld een datacenter of serverruimte. Door per functie een profiel op te stellen, geef je medewerkers snel en eenvoudig de juiste rechten. Krijgen medewerkers een andere functie, trek de rechten van de oude functie dan in. Gaat iemand uit dienst, blokkeer direct de toegang tot alle systemen, ruimtes en gebouwen.

5 Versleutelen

Je kunt de risico's van een datalek enorm beperken door je data te versleutelen. Kwaadwillenden en onbevoegden hebben immers niets aan onleesbare gegevens. Met een goede versleuteling beperk je de risico's van een datalek aanzienlijk.

6 Calamiteitenplan

Hoeveel preventieve maatregelen je ook neemt, een datalek is nooit helemaal uit te sluiten. Daarom is het verstandig te beschikken over een calamiteitenplan, ook wel 'incidentresponsplan' genoemd. Zodat je doelgericht kunt optreden om de schade te beperken en het probleem op te lossen. Leg in het plan vast welke stappen er genomen moeten worden en welke functionarissen je waarvoor nodig hebt. Denk ook na over de interne communicatie zodat iedereen steeds over de juiste informatie beschikt. Bepaal ook wie verantwoordelijk is voor de externe communicatie, bijvoorbeeld naar de Autoriteit Persoonsgegevens en eventueel de betrokkenen.

Laat de AVG geen verrassing voor je zijn. Met een gedegen voorbereiding bescherm je de privacy van je klanten, medewerkers en partners, en verklein je de kans op een datalek met desastreuze gevolgen.