Per 25 mei worden de nieuwe regels voor privacygegevens van kracht. Eén van de zaken die dan verandert is dat de beveiliging van privacygegevens strikter wordt.  Daarnaast zijn uw medewerkers die persoonsgegevens verwerken primair verantwoordelijk voor de beveiliging van de gegevens waarmee zij werken. Dat betekent dat zij zich bewust moeten zijn van de risico’s die het verwerken van persoonsgegevens met zich meebrengen.

De verordening legt de verantwoordelijkheid voor de beveiligingsmaatregelen dus nadrukkelijk bij de medewerkers. Dat laat natuurlijk onverlet dat u op organisatieniveau een kader moet maken waardoor de privacy van persoonsgegevens is gewaarborgd.

De aard van dat kader mag passen bij het risico dat gelopen wordt bij de verwerking. Bij een laag risico zijn minder maatregelen nodig dan bij de verwerking van gevoelige persoonsgegevens zoals bijvoorbeeld patiëntdossiers in de zorg.

Kortom, geen winterjas als het hoogzomer is!

De risico inschatting wordt onder meer bepaald door:

 • de aard van de persoonsgegevens die worden verwerkt;
 • de doeleinden waarvoor verwerking plaatsvindt;
 • de omvang van de verwerking van persoonsgegevens;
 • de mogelijke dreigingen bij de verwerking;
 • de ernst van de gevolgen die een beveiligingsincident zou kunnen hebben en de kans dat die zich ook daadwerkelijk voordoen;
 • de kosten van de beveiligingsmaatregelen in relatie tot de omvang en financiële mogelijkheden van de organisatie.

De beveiligingsmaatregelen zijn in 2 categorieën in te delen:

 1. Organisatorische maatregelen
 2. Technische maatregelen

Organisatorische maatregelen

Eén van de belangrijkste maatregelen is het goed regelen van de toegangsrechten tot de verschillende applicaties. Medewerkers mogen alleen toegang hebben tot de gegevens die zij in het kader van hun werktaken nodig hebben. Een accountmanager heeft toegang tot het CMS, maar bijvoorbeeld de receptioniste niet, tenzij zij in rustige uurtjes telefonisch afspraken maakt met klanten maakt voor de accountmanager.

Ten tweede is het van belang om een geheimhoudingsovereenkomst af te sluiten met de medewerkers die toegang hebben tot persoonsgegevens.

Mochten zich beveiligingsproblemen voordoen dan moet uw organisatie procedures en checklisten hebben waarin beschreven is hoe gehandeld moet worden.

Belangrijk is om ook daadwerkelijk toezicht te houden op de naleving van de procedures en de regels over privacy. Die taak kan bijvoorbeeld bij een Functionaris Gegevensbescherming worden gelegd.

Technische maatregelen

Technische maatregelen zijn bijvoorbeeld:

 • twee factor authenticatie
 • logging van de bewerkingshandelingen
 • goede firewalls
 • up-to-date virusscanners
 • pseudonimisering en versleuteling van persoonsgegevens
 • software tegen malware-aanvallen
 • het periodiek maken van back-ups;
 • software waarmee wordt geattendeerd op het dreigende verstrijken van een bewaartermijn.

Heeft u vragen over de nieuwe regelgeving of de beveiliging van uw gegevens, neem dan gerust contact op: nico.mookhoek@teamkikk.nl.

Onze specialisten kunnen u helpen met het implementeren van zowel de organisatorische als technische maatregelen.

Wij kunnen ook een AVG privacy scan doen om de risico’s en maatregelen voor uw organisatie in kaart te brengen.