Stap 4: Maak de beveiliging in orde

Verantwoord omgaan met persoonsgegevens valt of staat met goede beveiliging van de gegevens. Slechte beveiliging kan bijvoorbeeld leiden tot een datalek, met alle gevolgen van dien. Daarom staat in de AVG dat u persoonsgegevens goed moet beveiligen.

Wat een goede beveiliging is, hangt helemaal af van de situatie. Een ‘one size fits all-oplossing’ bestaat helaas niet. U moet zelf bepalen welke beveiligingsmaatregelen in uw situatie nodig zijn.

Zie verder: Maatregelen voor beveiliging

Internet en e-mail

Er is een aantal zaken dat u heel gemakkelijk zelf kunt regelen op het gebied van internet en e-mail:

• gebruik https;
• weeg risico’s af bij online delen persoonsgegevens;
• mail persoonsgegevens veilig.

Gebruik https

Als u persoonsgegevens verzamelt via uw website, moet u in ieder geval https gebruiken. Zo voorkomt u dat onbevoegde derden mee kunnen lezen met het verkeer naar uw website. Er zijn organisaties waarbij u een https-certificaat kunt aanvragen.

Tip: Vaag advies aan uw webhost.

Tip: Wilt u weten of uw website voldoet aan moderne internetstandaarden, zoals https? Dat kunt u zelf controleren via Internet.nl. Voer uw websiteadres in op deze site. U krijgt onmiddellijk een analyse van de verbeterpunten. Zo kunt u eenvoudig controleren of uw internetverbinding, e-mail en website wel voldoen aan moderne internetstandaarden.

Weeg risico’s af bij online delen persoonsgegevens

In de AVG staat niet expliciet dat het gebruik van online diensten, zoals e-mail, apps of clouddiensten, verboden is. Wel kan het in sommige gevallen als een gebrek aan beveiliging worden gezien.

Bijvoorbeeld wanneer u gevoelige persoonsgegevens opslaat in een gratis clouddienst. En deze dienst gratis is omdat de aanbieder uw gegevens verkoopt aan onbekende derden voor marketingdoeleinden.

U moet zelf bepalen of het gebruik van deze diensten in uw situatie passend is. Dit hangt af van de risico's in uw situatie. Deelt u gevoelige persoonsgegevens, dan levert dat bijvoorbeeld een groter risico op dan dat u 'gewone' persoonsgegeven deelt. Ook hangt het af van uw totale beveiligingsplan.

Persoonsgegevens veilig mailen

Aan het verzenden van informatie via e-mail zitten risico’s. Dus wilt u persoonsgegevens via e-mail versturen? Bijvoorbeeld gegevens over uw klanten of andere relaties? Dan bent u er verantwoordelijk voor dat u die gegevens veilig verstuurt.

U moet maatregelen treffen om te voorkomen dat onbevoegden toegang krijgen tot de informatie die u mailt. In de wet staat niet precies omschreven welke maatregelen u moet treffen. Wel dat de maatregelen passend moeten zijn.

Dit zijn 2 voorbeelden van passende maatregelen:

1. Het versleutelen van de persoonsgegevens in een e-mailbijlage.
2. Het versleutelen van het e-mailverkeer tussen mailservers met een of meerdere moderne internetstandaard(en). Voorbeelden van moderne internetstandaarden zijn DANE, DKIM, PGP, S/MIME, SPF en STARTTLS.

Meer informatie van het NCSC

Meer informatie over veilige internetstandaarden vindt u op de website van het Nationaal Cyber Security Centrum (NCSC):

• Factsheet 'Beveilig verbindingen van mailservers'
• Facstheet 'TLS-interceptie'

E-mailtest

Wilt u weten of uw e-mailvoorziening de moderne internetstandaarden ondersteunt? Doe dan de e-mailtest op Internet.nl.

Meer informatie beveiliging en datalekken

Wilt u meer weten over beveiliging van persoonsgegevens? Of over datalekken? Kijk dan bij:

• Beveiliging van persoonsgegevens
• Meldplicht datalekken
• Datalek? Dit moet u doen

Volgende stap

Heeft u de beveiliging in orde gemaakt? Dan kunt u verder naar de laatste stap.

Naar stap 5: Ga goed om met privacyrechten