De GDPR verplicht je om gepaste technische en organisatorische maatregelen te nemen om zo voldoende bescherming te bieden aan de persoonsgegevens die je verwerkt. Zeker als verwerkingsverantwoordelijke is dat een loodzware verplichting. Maar wat is gepast? In deze blog leggen we uit wat je daaronder mag verstaan en hoe je hiermee moet omgaan.
Technische en organisatorische maatregelen
Aan de hand van passende technische en organisatorische maatregelen (ook wel TOMs genoemd) is het de bedoeling dat de verwerkingsverantwoordelijke vertrouwen schept dat de gegevensverwerking plaats vindt in overeenstemming met de basisbeginselen van de GDPR. Even ter opfrissing uit onze vorige blog: de verwerkingsverantwoordelijke moet niet enkel de juiste garanties bieden, maar hij moet de genomen maatregelen ook formeel kunnen aantonen (verantwoordingsplicht).
Passendheid, da’s wikken en wegen
Die passendheid hangt natuurlijk sterk af van de concrete situatie. Eigenlijk betekent het hier ‘afgestemd op het privacyrisico’. Om na te gaan of de maatregelen die je neemt passend zijn, moet je met andere woorden een aantal specifieke aspecten analyseren en tegen elkaar afwegen:
- de aard van de verwerking;
- de omvang van de verwerking;
- de context van de verwerking;
- het doel van de verwerking;
- de waarschijnlijkheid en ernst van de uiteenlopende risico’s voor de rechten en vrijheden van personen.
In feite moet je deze aspecten in een eerste stap allemaal apart nagaan, om daarna in een tweede stap te beoordelen of het geheel van de maatregelen die je treft voldoende tegengewicht biedt aan de verschillende privacyrisico’s die uit die aspecten blijken. Wat telt, is de totaliteit van bescherming. Bij de beoordeling door de Gegevensbeschermingsautoriteit (GBA) of je de juiste maatregelen hebt genomen, zal worden gekeken naar het geheel van alle getroffen technische en organisatorische maatregelen en of die samen voldoende bescherming bieden.
Beveiliging persoonsgegevens
Een van de na te leven beginselen uit de GDPR is dat gegevensverwerking moet gebeuren op zo’n manier dat een passende beveiliging van de persoonsgegevens gewaarborgd is. Dit moet je doen door het nemen van passende technische of organisatorische maatregelen. De GDPR geeft aan dat dit onder andere inhoudt dat persoonsgegevens voldoende beschermd moeten zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.
Voor de beveiliging van persoonsgegevens somt de GDPR enkele mogelijke voorbeelden op van dergelijke maatregelen:
- pseudonimisering en versleuteling (‘encryptie’) van persoonsgegevens;
- het vermogen om permanent de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
- het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
- een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
Dit lijstje moet je zeker niet als volledig beschouwen. Het zijn indicaties uit de GDPR zelf om je een duwtje in de juiste richting te geven. Ook hier zal je concreet moeten afwegen welke maatregelen aan de orde zijn, afhankelijk van de mogelijke verwerkingsrisico’s. Bovendien dien je bij deze afweging rekening te houden met de stand van de techniek en de uitvoeringskosten. Dit wil dan meteen ook zeggen dat het bepalen van de TOMs géén eenmalige oefening is.
Voorbeelden
Een onderneming die grootschalig persoonsgegevens verwerkt (veel gegevens van veel mensen, waaronder zelfs gevoelige gegevens), zal preventief bescherming moeten voorzien tegen een ransomware aanval. Bij een ransomware aanval blokkeert een hacker dan vaak via malware de toegang tot gegevens om vervolgens bij wijze van chantage geld te eisen tegen de opheffing daarvan. In zo’n situatie is er sprake van een inbreuk van persoonsgegevens (personal data breach) aangezien de hacker ongeoorloofd en onrechtmatig toegang krijgt tot opgeslagen persoonsgegevens. Mogelijke preventieve technische en organisatorische maatregelen hier gaan zijn:
- state-of-the-art encryptie van gegevens, wat al een eerste barrière kan vormen tegen een verdergaande inbreuk van de hacker;
- een regelmatige back-up van gegevens, wat de gevolgen kan opvangen van een mogelijk verlies van persoonsgegevens.
Conclusie
Het nemen van de gepaste technische en organisatorische maatregelen is geen check-the-box oefening maar vergt een risk-based benadering en veel afweging. Deze oefening is bovendien nooit finaal, en moet regelmatig tegen het licht worden gehouden in functie van de evoluerende technieken. Wil je deze pro-activiteit inbouwen in je business processen? Contacteer onze specialisten via hallo@dejuristen.be.
Geschreven door Larissa De Keyser, Trainee deJuristen en Kris Seyen, Partner deJuristen
