Beveiliging van persoonsgegevens
Gemiddeld zit iemand met zijn gegevens in honderden tot duizenden bestanden, zowel van het bedrijfsleven als van de overheid. Iedereen moet erop kunnen vertrouwen dat zijn persoonsgegevens voldoende worden beveiligd. Slechte beveiliging kan leiden tot een datalek en vervolgens tot misbruik van deze gegevens. Bijvoorbeeld voor identiteitsfraude.
Actueel: corona
Bent u op zoek naar informatie over hoe u veilig kunt thuiswerken tijdens de coronacrisis? Kijk dan bij Veilig thuiswerken tijdens corona.
Maatregelen voor beveiliging
Bedrijven en overheden die persoonsgegevens gebruiken moeten deze volgens de Algemene verordening gegevensbescherming (AVG) beveiligen. Zo voorkomen ze datalekken.
Volgens de AVG moeten bedrijven en overheden hiervoor passende technische en organisatorische maatregelen nemen:
- Organisaties moeten moderne techniek gebruiken om persoonsgegevens te beveiligen.
- Verder moeten ze niet alleen naar de techniek kijken, maar ook naar hoe ze als organisatie met persoonsgegevens omgaan. Wie heeft er bijvoorbeeld toegang tot welke gegevens?
Organisaties die persoonsgegevens gaan verzamelen, moeten vooraf nadenken over de beveiliging hiervan. En beveiliging van persoonsgegevens moet binnen een organisatie een blijvend punt van aandacht zijn.
Als organisaties andere partijen inschakelen om persoonsgegevens te verwerken, dan moeten deze verwerkers voldoende maatregelen treffen om de gegevens te beveiligen. Organisaties die gegevensverwerking door een verwerker laten uitvoeren, blijven verantwoordelijk voor de naleving van de AVG.
Datalekregister en meldplicht datalekken
Iedere organisatie moet een datalekregister bijhouden. Heeft een organisatie een ernstig datalek? Dan moet de organisatie het datalek direct melden bij de Autoriteit Persoonsgegevens en soms ook aan de mensen van wie gegevens zijn gelekt.
Bekijk binnen het onderwerp Beveiliging van persoonsgegevens
Nieuws
-
Persbericht / 24 mei 2022Datalekken door cyberaanvallen bijna verdubbeld
-
Nieuwsbericht / 6 april 2022Boete voor Buitenlandse Zaken voor slechte beveiliging visumaanvragen
-
Persbericht / 12 november 2021AP beboet Transavia om slechte beveiliging persoonsgegevens
Alle antwoorden op mijn vragenVragen van organisaties over beveiliging
-
Hoe kan ik veilig persoonsgegevens via e-mail versturen?
Aan het verzenden van informatie via e-mail zitten risico’s. Dus wilt u persoonsgegevens via e-mail versturen? Bijvoorbeeld gegevens over uw klanten, burgers of andere relaties? Dan bent u er als organisatie verantwoordelijk voor dat u die gegevens veilig verstuurt.
U moet voor e-mail maatregelen treffen om te voorkomen dat onbevoegden toegang krijgen tot de informatie. In de wet staat niet precies omschreven welke maatregelen u moet treffen. Wel dat deze passend moeten zijn. Wij geven u hieronder twee voorbeelden van passende maatregelen.
1. Het versleutelen van de persoonsgegevens in een e-mailbijlage.
2. Het versleutelen van het e-mailverkeer tussen mailservers met een of meerdere moderne internetstandaard(en). Voorbeelden van moderne internetstandaarden zijn DANE, DKIM, PGP, S/MIME, SPF en STARTTLS.Meer informatie van het NCSC
Meer informatie over veilige internetstandaarden vindt u op de website van het Nationaal Cyber Security Centrum (NCSC):
E-mailtest
Wilt u weten of uw e-mailvoorziening de moderne internetstandaarden ondersteunt? Doe dan de e-mailtest op de website van internet.nl.
-
Moet ik altijd https gebruiken voor mijn website?
Als u persoonsgegevens verzamelt via uw website, moet u in ieder geval https gebruiken. Zo voorkomt u dat onbevoegde derden mee kunnen lezen met het verkeer naar uw website.
Er zijn organisaties bij wie u een https-certificaat kunt aanvragen. Tip: vraag advies aan uw webhost.
-
Hoe weet ik of moderne internetstandaarden goed geconfigureerd zijn voor mijn website?
Dat kunt u zelf controleren via www.internet.nl.
Voer uw website-adres in op deze site. U krijgt onmiddellijk een analyse van de verbeterpunten.
Zo kunt u eenvoudig controleren of uw internetverbinding, e-mail en website wel voldoen aan moderne internetstandaarden. Bijvoorbeeld aan de internetstandaard https.
Internet.nl is een initiatief van de Internetgemeenschap en de Nederlandse overheid.
-
Moet ik betrokkenen laten weten wie toegang heeft gehad tot hun gegevens?
Ja. Een betrokkene (degene van wie u als organisatie persoonsgegevens verwerkt) heeft het recht om te vragen wie binnen uw organisatie toegang heeft gehad tot zijn gegevens.
Vraagt een betrokkene, zoals een patiënt van uw zorginstelling of een inwoner van uw gemeente, wie toegang heeft gehad tot zijn gegevens? Dan verstrekt u een overzicht van (categorieën van) medewerkers die toegang hebben gehad. U stelt dit overzicht samen op basis van uw logbestanden.
Alle antwoorden op mijn vragenVragen van organisaties over testen
-
Welke gegevens kan ik wel gebruiken om testen uit te voeren?
U kunt bijvoorbeeld onderzoeken of er synthetische gegevens of testdata (‘dummy data’) beschikbaar zijn. Stel daarbij altijd vast dat de dataset die u wilt gebruiken niet alsnog persoonsgegevens bevat.
De Rijksdienst voor Identiteitsgegevens biedt bijvoorbeeld een reeks test-burgerservicenummers aan.
Wilt u testen of een nieuw systeem of een nieuwe applicatie dezelfde uitkomsten genereert als het oude systeem of de oude applicatie? Ook dan kunt u in beide applicaties vaak testdata inzetten.
Alle antwoorden op mijn vragenVragen van organisaties over hashing
Alle antwoorden op mijn vragenVragen van organisaties over legacy-systemen
Alle antwoorden op mijn vragenVragen over beveiliging van persoonsgegevens
-
Waar kan ik op letten als ik mijn persoonsgegevens online aan organisaties geef?
Soms moet u op een website inloggen of persoonlijke informatie achterlaten. Bijvoorbeeld bij internetbankieren, veilingsites en webwinkels. Vraagt een website om uw persoonsgegevens? Let dan op dat de website gebruik maakt van een beveiligde internetverbinding.
Bij een beveiligde internetverbinding staat er https:// in de adresbalk van uw browser in plaats van het normale http://. Met https:// voorkomt een website dat onbevoegden mee kunnen lezen met de gegevens die u invult.
Maakt een website geen gebruik van een beveiligde verbinding? Denk dan goed na of u uw via die website wel uw persoonsgegevens wilt delen.
Meer weten? Op de website Veilig internetten vindt u uitgebreide informatie over hoe u veilig kunt internetbankieren en online winkelen.
Publicaties
- Rapport / 6 april 2022DownloadenPDFBoete ministerie Buitenlandse Zaken NVIS
- Wetgevingsadvies / 25 oktober 2021DownloadenPDFAdvies wijziging Wet beveiliging netwerk- en informatiesystemen