In deze laatste blog over digitalisering in de transportsector ga ik in op beveiliging van de verzamelde gegevens.
Veilig verwerken
Een van de belangrijkste beginselen in de AVG is dat de verwerking van persoonsgegevens op een veilige manier plaatsvindt. Veiligheid omtrent de verwerking van persoonsgegevens gaat verder dan menigeen denkt. Met passende beveiligingsmaatregelen moet niet alleen voorkomen worden dat de gegevens gelekt worden. Met beveiligingsmaatregelen moet ook bewerkstelligd worden dat de gegevens beschikbaar zijn voor de verwerking én dat de verwerking wordt uitgevoerd zoals dit bedoeld is.
Risicobeoordeling
Voordat gestart kan worden met de verwerking moet in veel gevallen eerst een Data Protection Impact Assessment (DPIA) worden uitgevoerd. Met deze gegevensbeschermingseffectbeoordeling breng je de privacyrisico’s in kaart. De hogere risico’s moet je met technische of organisatorische maatregelen mitigeren. Een voorafgaande DPIA is in ieder geval verplicht als met de verwerking, in verhouding tot de totale personeelsomvang, grootschalig locatie-/GPS-gegevens worden verwerkt.
Technische beveiligingsmaatregelen
Het nemen van technische beveiligingsmaatregelen bestaat als eerste natuurlijk uit beveiligingssoftware zoals virusscanners, malwareblokkers etc. Maar deze heb je hopelijk al in gebruik, met de meeste recente updates. Daarnaast natuurlijk een goede wachtwoordbeveiliging met twee-staps-verificatie (afgekort 2FA of MFA).
Een andere beveiligingsmaatregel is er technisch voor te zorgen dat de persoonsgegevens alleen beschikbaar zijn voor medewerkers die daar functioneel toegang toe moeten hebben. We hebben het dan over toegangsautorisaties. De planning zal over andere gegevens moeten kunnen beschikken dan de wagenparkbeheerder of de salarisadministratie. Toegangsautorisaties moet zoveel mogelijk technisch worden afgedwongen.
Organisatorische beveiligingsmaatregelen
Naast technische beveiligingsmaatregelen zullen er ook organisatorische beveiligingsmaatregelen moeten worden genomen. Deze neem je op in een protocol voor de gebruikers van het (volg)systeem. Het protocol kan je kortgezegd zien als een omschrijving van het systeem, het doel waarvoor de gegevens worden verwerkt en op welke wijze gebruikers het systeem moeten gebruiken. Deze instructies zijn een aanvulling op de technische beveiligingsmaatregelen.
Als gebruik wordt gemaakt van een online toepassing, software-as-a-service, dan moet met de leverancier een verwerkersovereenkomst worden afgesloten. De verwerkersovereenkomst moet voldoen aan voorwaarden van artikel 28 AVG.
