Verzamel niet meer persoonsgegevens dan nodig
Hoe meer gegevens je verzamelt, des te groter de kans dat er iets misgaat met de bescherming ervan. Bovendien loop je het risico dat je een boete krijgt voor het ongeoorloofd verwerken van persoonsgegevens.
Gebruik een verwerkersovereenkomst als je verwerking uitbesteedt
Als je bijvoorbeeld je personeelsbestand doorgeeft aan een salarisadministratiekantoor, vergroot je de kans dat er iets misgaat met die gegevens. Ze kunnen dan zowel via je organisatie als het administratiekantoor kwijtraken, worden gestolen of in de openbaarheid komen. Het is daarom van belang dat je een verwerker (in dit voorbeeld het salarisadministratiekantoor) verplicht om zorgvuldig met die gegevens om te gaan. Daarvoor gebruik je de verplichte verwerkersovereenkomst. Komt een verwerker zijn verplichtingen niet na, dan riskeert hij naast een boete van de Autoriteit Persoonsgegevens ook nog een boete aan jou als opdrachtgever. Als je geen verwerkersovereenkomst afsluit, riskeer je overigens zelf een boete!
Geef weinig werknemers toegang tot persoonsgegevens
Hier geldt eigenlijk hetzelfde als wanneer je de verwerking van persoonsgegevens uitbesteedt aan een ander bedrijf: hoe meer mensen ermee aan de slag kunnen, des te meer er mis kan gaan met de gegevens.
Laat je medewerkers een NDA ondertekenen
Regelmatig lekken medewerkers vertrouwelijke gegevens, bijvoorbeeld over de gezondheid of het vermogen van een bekende Nederlander. Werk je met gevoelige informatie, laat dan je medewerkers die toegang hebben tot deze informatie een geheimhoudingsverklaring ondertekenen. Het geeft geen absolute garantie, maar verkleint wel het risico op lekken van gevoelige persoonsgegevens, omdat je werknemer een (hoge) boete bij overtreding aan je moet betalen.
Zorg voor technische veiligheidsmaatregelen
Je moet van de AVG passende technische veiligheidsmaatregelen treffen om de persoonsgegevens voldoende te beschermen. Wat passende technische veiligheidsmaatregelen zijn, hangt af van je situatie. Over het algemeen kun je stellen dat hoe gevoeliger de informatie is, des te meer maatregelen je moet treffen om deze goed te beveiligen. Met een goed beveiligd toegangswachtwoord en actuele anti-malware op je computer ben je al een eind op de goede weg.
Zorg voor een protocol melding datalekken
Omdat ongelukken nooit helemaal te voorkomen zijn, ben je op grond van de AVG verplicht om je hierop voor te bereiden. Zorg dat je een standaardprocedure uit de kast kunt trekken en aflopen als er onverhoopt toch persoonsgegevens kwijtraken of lekken. Hiervoor gebruik je een protocol melding datalekken. Vergeet ook niet een register datalekken aan te leggen.
Laat een DPIA uitvoeren
Als je met gevoelige persoonsgegevens werkt of met experimentele technologie, waarvan het nog niet duidelijk is of deze voldoende veilig is, is het verstandig om een gegevensbeschermingseffectbeoordeling te laten uitvoeren (ook wel DPIA: Data Protection Impact Assessment genoemd of PIA: Privacy Impact Assessment). Daarmee inventariseer je de privacyrisico’s die je onderneming loopt. Je mag dit zelf doen of kunt er een extern gespecialiseerd bedrijf voor inhuren.
Informatiebeveiligingsbeleid
Een informatiebeveiligingsbeleid (information security protocol) is een overzicht van regels die bepalen hoe binnen je bedrijf gegevens verwerkt en beschermd worden. Het beleid bepaalt:
-
hoe gegevensbescherming binnen je bedrijf is vastgelegd
-
welke maatregelen je bedrijf heeft genomen om de veiligheid van gegevens te garanderen
-
hoe je bedrijf omgaat met incidenten rondom het lekken van gegevens
De wet is complex en verandert vaak. Vraag een advocaat voor juridisch advies.