De Algemene Verordening Gegevensbescherming (AVG) wordt door veel bedrijven ervaren als een draak van een wet. De wet bevat namelijk vele open normen en vage verplichtingen. Dit brengt onduidelijkheid met zich mee. Bedrijven weten vaak niet wat ze nou precies moeten doen.
Het gevolg van deze onduidelijkheid is dat veel Nederlandse bedrijven vaak nog steeds niet volledig voldoen aan de AVG. Men heeft vaak enkele verplichte documenten, zoals een privacyverklaring en verwerkersovereenkomsten, maar deze documenten zijn niet altijd even goed afgestemd op de werkelijke bedrijfsvoering en het verwerken van persoonsgegevens. Een reden hiervoor is dat bedrijven vaak niet goed weten welke persoonsgegevens ze precies verwerken, waarom, hoe lang en wat ze (moeten) doen om die te beveiligen. De documenten verdwijnen vervolgens in een la en worden er mogelijk pas weer bij gepakt op het moment dat zich een incident voordoet.
De documentatieplicht is echter maar een deel van de verplichtingen die de AVG met zich brengt. De AVG verplicht bedrijven juist om bewust met persoonsgegevens om te gaan, om te stoppen met onnodige gegevensverwerkingen en ze op een passende manier te beveiligen. Het beoordelen van de benodigde gegevensverwerkingen lukt veel bedrijven wel, al dan niet met behulp van andere partijen. Maar hoe bepaal je nou wat passende technische en organisatorische maatregelen zijn om persoonsgegevens te beveiligen? Een IT-er kan inzicht geven in wat de laatste stand van de techniek is op het gebied van beveiliging en wat gebruikelijk is voor het beveiligen van persoonsgegevens. Maar, is dat dan ook passend of kan volstaan worden met een minder strikte beveiliging?
Wat is een adequate beveiliging?
Dat een adequate beveiliging van belang is, blijkt wel uit de recente zaak over het HagaZiekenhuis. Medewerkers hadden onterecht het patiëntendossier van een BN’er geraadpleegd. Volgens de Autoriteit Persoonsgegevens (AP) hield het HagaZiekenhuis onvoldoende toezicht op de logs van medewerkers die elektronische patiëntendossiers raadpleegden. Bovendien was tweefactorauthenticatie voor het raadplegen van de patiëntendossiers niet verplicht gesteld, terwijl dat volgens de AP wel het geval had moeten zijn. Het HagaZiekenhuis heeft daarom als eerste bedrijf in Nederland op grond van de AVG een boete van de AP gekregen. De boete is niet mis en bedraagt € 460.000. Het HagaZiekenhuis heeft wel bezwaar gemaakt tegen de hoogte van de boete en het is dus nog maar de vraag is of die boete in stand blijft.
Alle reden dus voor bedrijven om goed hun best te doen en persoonsgegevens adequaat te beveiligen. Bedrijven moeten dan wel weten wat ze moeten doen. De AP geeft enkele handvaten om bedrijven op weg te helpen bij het treffen van passende technische en organisatorische beveiligingsmaatregelen. Echter, die zijn niet zodanig concreet dat bedrijven precies weten wat hen te doen staat.
Duidelijkheid over de AVG
Wilt u duidelijkheid over welke technische en organisatorische beveiligingsmaatregelen voor uw bedrijf passend zijn? Dan willen we u van harte uitnodigen om op dinsdag 24 september een de kennissessie ‘Een SIEM zonder SOC’ bij te wonen bij IP4Sure. Tijdens deze sessie komen naast onze advocaten diverse experts aan het woord van IP4Sure.
Indien u meer wilt weten over dit onderwerp kunt u contact opnemen met Dewi Harkink of Rik Geurts van de sectie IE/IT & Privacy.
Deze blog bevat algemene informatie en is met veel aandacht en zorgvuldigheid geschreven. Juridisch advies is echter altijd maatwerk. Wint u dus in een voorkomend geval altijd deskundig juridisch advies in. (Lees onze disclaimer).
