In de Algemene verordening gegevensbescherming (hierna AVG te noemen) gaat het veelvuldig over het nemen van passende technische en organisatorische maatregelen. Ondernemers zijn verantwoordelijk voor de persoonsgegevens die ze verzamelen. Maar wat houden ‘passende’ technische en organisatorische maatregelen precies in? Voordat we voorbeelden gaan noemen wat technische en organisatorische maatregelen zijn, kijken we eerst naar wat de AVG zegt. Maar mocht je de AVG nog niet kennen dan hebben we hieronder een kleine samenvatting van de AVG.

De Algemene verordening gegevensbescherming

Vanaf 25 mei 2018 is de AVG van toepassing. Hierin staat wat er allemaal wel en niet mag met de persoonsgegevens van mensen. Bij ieder gebruik en vergaring van persoonsgegevens moet de kans op een privacy inbreuk zo klein mogelijk zijn.

De belangrijkste bepalingen die in de AVG staan kun je vinden op de website van de autoriteit persoonsgegevens. Maar, wij hebben er ook een paar voor je opgesomd:

  • Persoonsgegevens mogen alleen verwerkt worden in overeenstemming met de wet;
  • Persoonsgegevens mogen alleen verzameld worden met een gerechtvaardigd doel;
  • Personen waarvan persoonsgegevens worden verzameld moeten kennisnemen van de identiteit van de verwerkingsverantwoordelijke en het doel van de verwerkingsgegevens.

Deze beginselen gelden voor de basispersoonsgegevens, personalia zoals naam, adres en bankgegevens. Voor bijzondere persoonsgegevens zoals ras, seksuele voorkeur en geloofsovertuiging gelden strengere regels.

Je moet bij het verwerken van deze gegevens bepaalde maatregelen treffen die gericht zijn op het verbeteren van de wijze waarop je de persoonsgegevens verwerkt en behoudt.

Technische en organisatorische maatregelen

Volgens de AVG moeten verwerkingsverantwoordelijke (dit kan dus een bedrijf of persoon zijn) ‘’passende technische en organisatorische maatregelen’’ treffen. Maar wat zijn dit precies en wat houdt het in?

Bij technische maatregelen kan je denken aan bijvoorbeeld encrypten of pseudonimiseren van gegevens. Encrypten betekend dat je gegevens codeert, door het coderen ontstaat een bericht als leesbare tekst naar een versleutelde tekst. Dit wordt ook wel geheimschrift, ofwel cijfertekst genoemd. Pseudonimiseren is bijna hetzelfde, bij deze vorm worden persoonsgegevens omgetoverd in een dataset die niet meer te herleiden valt tot een persoon.

Bij organisatorische maatregelen kan je je misschien iets meer bij voorstellen. Denk hierbij aan structurele veranderingen binnen degene die toegang hebben tot de persoonsgegevens: welke functies hebben toegang tot welke gegevens?

Je kan hierbij denken aan de functie salarisadministratie dat zij er veel baat bij hebben om inzage te hebben in BSN en rekeninggegevens, terwijl je als verkoopmedewerker niks te zoeken hebt tussen deze gegevens.

Dit soort maatregelen zet je in een beleid, en het is dan ook van noodzaak dat dit beleid in de praktijk ook goed wordt uitgevoerd voordat je de AVG op je dak krijgt! Wil je meer lezen over de AVG? Neem dan een kijkje op onze webpagina privacyrecht, waar je genoeg artikelen over de AVG kan vinden zoals: ‘’hoe hoog is de boete als je de AVG schendt?’’ en ‘’moet ik als ondernemer voldoen aan de AVG?’’

Voorbeelden technische en organisatorische maatregelen

Om je een beeld te geven van deze technische en organisatorische maatregelen hebben we enkele voorbeelden voor je op een rijtje gezet:

Technische maatregelen

Het gaat bij de technische maatregelen over het stukje moderne techniek gebruiken om de persoonsgegevens te beveiligen:

  • Firewall;
  • Back-ups;
  • Tweefactorauthenticatie;
  • Veilige wachtwoorden;
  • Vingerprint en gezichtsherkenning.

Organisatorische maatregelen

Bij organisatorische maatregelen kan je denken aan bijvoorbeeld:

  • Beperking van toegang tot gegevens (door autorisatie en authenticatie)
  • Richtlijnen opstellen binnen de organisatie aangaande de verwerking van persoonsgegevens.

Je kan je werknemers altijd informeren en voorzien van voorlichting/informatie over persoonsgegevens, en de noodzaak van het zorgvuldig omgaan met het verwerken hiervan. Dit kan je bijvoorbeeld doen door het geven van trainingen om de bewustwording te vergroten.

Conclusie

Vage begrippen in de wet, zoals passende technische en organisatorische maatregelen, kunnen zo nu en dan nog wel eens vaagjes zijn. Maar zoals je kunt lezen valt het allemaal wel mee als je het een beetje uitpluist. Hopelijk heb je nu meer kennis van het onderwerp en weet je nu precies waar je naar zocht!

In de Algemene verordening gegevensbescherming (hierna AVG te noemen) gaat het veelvuldig over het nemen van passende technische en organisatorische maatregelen. Ondernemers zijn verantwoordelijk voor de persoonsgegevens die ze verzamelen. Maar wat houden ‘passende’ technische en organisatorische maatregelen precies in? Voordat we voorbeelden gaan noemen wat technische en organisatorische maatregelen zijn, kijken we eerst naar wat de AVG zegt. Maar mocht je de AVG nog niet kennen dan hebben we hieronder een kleine samenvatting van de AVG.

De Algemene verordening gegevensbescherming

Vanaf 25 mei 2018 is de AVG van toepassing. Hierin staat wat er allemaal wel en niet mag met de persoonsgegevens van mensen. Bij ieder gebruik en vergaring van persoonsgegevens moet de kans op een privacy inbreuk zo klein mogelijk zijn.

De belangrijkste bepalingen die in de AVG staan kun je vinden op de website van de autoriteit persoonsgegevens. Maar, wij hebben er ook een paar voor je opgesomd:

  • Persoonsgegevens mogen alleen verwerkt worden in overeenstemming met de wet;
  • Persoonsgegevens mogen alleen verzameld worden met een gerechtvaardigd doel;
  • Personen waarvan persoonsgegevens worden verzameld moeten kennisnemen van de identiteit van de verwerkingsverantwoordelijke en het doel van de verwerkingsgegevens.

Deze beginselen gelden voor de basispersoonsgegevens, personalia zoals naam, adres en bankgegevens. Voor bijzondere persoonsgegevens zoals ras, seksuele voorkeur en geloofsovertuiging gelden strengere regels.

Je moet bij het verwerken van deze gegevens bepaalde maatregelen treffen die gericht zijn op het verbeteren van de wijze waarop je de persoonsgegevens verwerkt en behoudt.

Technische en organisatorische maatregelen

Volgens de AVG moeten verwerkingsverantwoordelijke (dit kan dus een bedrijf of persoon zijn) ‘’passende technische en organisatorische maatregelen’’ treffen. Maar wat zijn dit precies en wat houdt het in?

Bij technische maatregelen kan je denken aan bijvoorbeeld encrypten of pseudonimiseren van gegevens. Encrypten betekend dat je gegevens codeert, door het coderen ontstaat een bericht als leesbare tekst naar een versleutelde tekst. Dit wordt ook wel geheimschrift, ofwel cijfertekst genoemd. Pseudonimiseren is bijna hetzelfde, bij deze vorm worden persoonsgegevens omgetoverd in een dataset die niet meer te herleiden valt tot een persoon.

Bij organisatorische maatregelen kan je je misschien iets meer bij voorstellen. Denk hierbij aan structurele veranderingen binnen degene die toegang hebben tot de persoonsgegevens: welke functies hebben toegang tot welke gegevens?

Je kan hierbij denken aan de functie salarisadministratie dat zij er veel baat bij hebben om inzage te hebben in BSN en rekeninggegevens, terwijl je als verkoopmedewerker niks te zoeken hebt tussen deze gegevens.

Dit soort maatregelen zet je in een beleid, en het is dan ook van noodzaak dat dit beleid in de praktijk ook goed wordt uitgevoerd voordat je de AVG op je dak krijgt! Wil je meer lezen over de AVG? Neem dan een kijkje op onze webpagina privacyrecht, waar je genoeg artikelen over de AVG kan vinden zoals: ‘’hoe hoog is de boete als je de AVG schendt?’’ en ‘’moet ik als ondernemer voldoen aan de AVG?’’

Voorbeelden technische en organisatorische maatregelen

Om je een beeld te geven van deze technische en organisatorische maatregelen hebben we enkele voorbeelden voor je op een rijtje gezet:

Technische maatregelen

Het gaat bij de technische maatregelen over het stukje moderne techniek gebruiken om de persoonsgegevens te beveiligen:

  • Firewall;
  • Back-ups;
  • Tweefactorauthenticatie;
  • Veilige wachtwoorden;
  • Vingerprint en gezichtsherkenning.

Organisatorische maatregelen

Bij organisatorische maatregelen kan je denken aan bijvoorbeeld:

  • Beperking van toegang tot gegevens (door autorisatie en authenticatie)
  • Richtlijnen opstellen binnen de organisatie aangaande de verwerking van persoonsgegevens.

Je kan je werknemers altijd informeren en voorzien van voorlichting/informatie over persoonsgegevens, en de noodzaak van het zorgvuldig omgaan met het verwerken hiervan. Dit kan je bijvoorbeeld doen door het geven van trainingen om de bewustwording te vergroten.

Conclusie

Vage begrippen in de wet, zoals passende technische en organisatorische maatregelen, kunnen zo nu en dan nog wel eens vaagjes zijn. Maar zoals je kunt lezen valt het allemaal wel mee als je het een beetje uitpluist. Hopelijk heb je nu meer kennis van het onderwerp en weet je nu precies waar je naar zocht!

Over Juristenblog.nl

Het team van Juristenblog.nl bestaat uit ervaren juristen. Wekelijks wordt onderzoek gedaan naar interessante onderwerpen waarover geschreven kan worden. Vervolgens schrijft de jurist met de meeste kennis van het onderwerp de betreffende blog. Op deze manier blijft ons concept up-to-date en relevant.

Schrijf je in & Blijf op de hoogte

Laat hieronder je e-mailadres achter en ontvang elke maandagochtend een overzicht van de meest recente berichten die op juristenblog.nl zijn verschenen.

We spammen niet. Je kunt je op ieder moment uitschrijven.