Dag van de Privacy: zorgvuldig omgaan met persoonsgegevens
Juliën L’Ortye

Dag van de Privacy: zorgvuldig omgaan met persoonsgegevens

Op 28 januari staat Europa in het teken van de beveiliging van persoonsgegevens. Het is namelijk de (Europese) Dag van de Privacy. Geen overbodige luxe om daar weer eens aan herinnerd te worden, zo bleek onlangs weer: een commercieel testbedrijf had de uitslagen van de coronatests niet goed beschermd en duizenden testresultaten lagen op straat, waaronder die van militairen en profvoetballers.

Dit soort verhalen staat niet op zichzelf, helaas. Integendeel: in 2019 ontving de Autoriteit Persoonsgegevens (AP) liefst 27.000 meldingen van een datalek, een stijging van 28% ten opzichte van een jaar eerder.

Voldoe aan de AVG

Kortom: er moet (en mag) niet zachtzinnig omgesprongen worden met de data die je als bedrijf opslaat. Zorg er daarom voor dat je in élk geval voldoet aan de Algemene Verordening Gegevensbescherming, in de volksmond beter bekend als de AVG. Deze Europese privacywet was een hot topic bij de invoering, medio 2018 – wie herinnert zich zijn/haar ontplofte mailbox niet? – maar is her en der alweer naar de achtergrond verdwenen.

Niet meer dan strikt noodzakelijk

Even een korte AVG-opfriscursus: deze regelgeving houdt onder andere in dat de personen van wie de gegevens worden opgeslagen, ervan op de hoogte zijn dat dit gebeurt. Ze zullen dus minimaal één keer ergens akkoord mee moeten zijn gegaan, al is het maar door het aanvinken van een vakje of het klikken op een knop. Daarnaast moet het opslaan van deze gegevens een duidelijk doel dienen én mag er niet meer data opgeslagen worden dan strikt noodzakelijk.

Fulltime bezig met persoonsgegevens

Ook doe je er goed aan om een Functionaris Gegevensbescherming (FG) aan te stellen, zeker wanneer jouw bedrijf op grote schaal persoonsgegevens opslaat. Voor sommige branches en bedrijven is het aanstellen van een FG zelfs verplicht. Doordat iemand zich fulltime met (de opslag van) deze persoonsgegevens bezighoudt, hou je de kans op een mogelijk datalek klein.

Kies voor een EU-land

Tot slot: sla de persoonsgegevens altijd op in een EU-land. Dan mag je er vanuit gaan dat de beveiliging volgens de norm is. Ter vergelijking: in een land als de Verenigde Staten is de privacywetgeving een stuk minder streng dan in Nederland en andere EU-landen. Daardoor zijn bijvoorbeeld Google Drive en Dropbox vaak minder geschikt voor het opslaan van deze gegevens.

Wat we zelf doen

Lemm en Ten Haaf verwerkt de data van haar klanten altijd volgens een verwerkersovereenkomst en houdt nauwkeurig in de gaten of de veranderende wet- en regelgeving wordt nageleefd. Zo slaan we enkel de data op die puur noodzakelijk is en doen we dit op beveiligde servers. Wanneer we bepaalde data(bases) moeten versturen, gebeurt dit altijd in een beveiligde omgeving, in combinatie met een dubbele login. Deze informatie wordt apart van elkaar verstuurd.

Hulp nodig?

Voldoet jouw bedrijf nog niet volledig aan de AVG-regels of kunnen we op een andere manier bijstaan wat betreft de beveiliging van de (persoons)gegevens die je verwerkt? Laat het ons dan weten!