Beveiligingseisen en -maatregelen in de nieuwe AVG

Beveiligingseisen en maatregelen in de nieuwe AVG

De nieuwe AVG schrijft ‘passende maatregelen’ voor bij de verwerking van persoonsgegevens. En die moeten leiden tot een ‘passend beveiligingsniveau’. Best lastig, want wat wordt daar mee bedoeld?

 

De maatregelen moeten in verhouding staan tot de risico’s. Bepaalde beveiligingsmaatregelen kunnen bij gelijke verwerking in het ene geval passend zijn maar in een ander ontoereikend.

Clubleden of lotgenoten

Een voorbeeld: twee verenigingen sturen hun leden een nieuwsbrief en de verwerkingsrisico’s zijn vrijwel hetzelfde. Maar de ene vereniging is een tennisclub en de andere een groep lotgenoten van seksueel misbruik. Dan is het beveiligingsniveau dus anders.

“De gegevens zijn in het laatste geval namelijk een stuk delicater dan bij de tennisclub. En komen die ‘op straat’ te liggen, dan kan dat nare gevolgen hebben voor de betrokkenen”, zo stelt DAS.

Risico’s en gevolgen

Verenigingen moeten, met de eisen in de hand, een ‘passend beveiligingsniveau’ vaststellen. Daarvoor zijn vertrouwelijkheid, integriteit en beschikbaarheid van belang.

Maar om betrouwbaarheidseisen op te kunnen stellen, moet eerst vaak een analyse worden gemaakt. De risico’s en gevolgen voor de betrokkenen moeten dan het uitgangspunt zijn, en niet de risico’s voor de club.

Beveiligingsmaatregelen

De betrouwbaarheidseisen moeten vertaald worden naar beveiligingsmaatregelen. Die moet de kans dat een risico zich voordoet en de gevolgen voor de betrokkenen verkleinen.

Het versleutelen van gegevens leidt bijvoorbeeld niet tot een kleinere kans op een lek maar verkleind het risico wel. En anti-virussoftware leidt weer tot een kleinere kans dat een risico zich voordoet, maar de mogelijke gevolgen voor betrokkenen blijven even groot.

Een paar tips:

 Ga bewust om met de beveiliging van data. Zorg er ook voor dat software up-to-date is en dat patches geïnstalleerd zijn;
 Zorg dat alle betrokken weten hoe zij met gegevens moeten omgaan;
 Laat geen usb’s gebruiken of laptop’s kwijtraken en geef niet alle bestuursleden en vrijwilligers toegang;
 Denk aan geheimhouding door werknemers, vrijwilligers en derden. Leg dit indien nodig vast in een geheimhoudingsverklaring;
 Ontwikkel protocollen rond de omgang met incidenten en het doen van meldingen over datalekken.

Incident

Ook met een passend beveiligingsniveau kan zich een incident voordoen. Het is dan belangrijk om aan te kunnen tonen dat u naar redelijkheid de maatregelen had getroffen om zo’n incident te voorkomen.

Het is dus belangrijk dat duidelijk is wat u heeft gedaan om een incident te voorkomen en de gevolgen te beperken. Clubs die nog vragen hebben over de AVG kunnen even contact opnemen met de sportdesk@das.nl of bellen met 020 651 7666.

    Op de hoogte blijven? Meld je hier aan voor de nieuwsbrief!

    Partners

    SportStroom helpt clubs mede bij het financieren en de uitvoering van energiebesparende maatregelen. Maar ook bij het aanvragen van subsidies.De gemeente Zeewolde als oneerlijke concurrent en jachthaven exploitantClubbier helpt sportclubs om een inkoopcollectief voor tapbier te starten