De AVG of de Algemene Verordening Gegevensbescherming legt allerlei regels op met betrekking tot de verwerking van persoonsgegevens. Zo moet de gegevensverwerker bijvoorbeeld over een geldige grondslag beschikken, heeft iedereen recht op informatie over de verwerking van de persoonsgegevens en mag men zo nodig persoonsgegevens laten rectificeren. Tevens stelt de AVG belangrijke eisen ten opzichte van de beveiliging van persoonsgegevens.
Verschillende technieken om persoonsgegevens te beschermen
De AVG schuift vooral anonimisering, pseudonimisering en encryptie als beschermingstechnieken naar voren. Het gaat om efficiëntie manieren om persoonsgegevens te beschermen. Anonimiseren wil zeggen dat de persoonsgegevens zo worden bewerkt dat het niet meer mogelijk is om de persoon te heridentificeren, ook niet wanneer verschillende datasets worden gecombineerd. Deze techniek krijgt volgens de AVG de voorkeur.
Indien anonimiseren niet mogelijk of wenselijk is, draagt pseudonimiseren de voorkeur. Hierbij werkt men bijvoorbeeld dagelijks met gepseudonimiseerde gegevens, maar heeft men wel nog steeds een dataset met ruwe persoonsgegevens. De toegang tot de dataset met ruwe persoonsgegevens kan daarbij worden beperkt tot slechts een aantal personen in de organisatie.
Verder adviseert de AVG de encryptie bij de opslag of doorgifte van data. Hierbij worden de persoonsgegevens volgens een algoritme versleuteld. Deze gegevens kunnen later opnieuw worden ontcijferd, maar dan enkel wanneer men over de geldige sleutel beschikt. Het staat toe om persoonsgegevens op een veilige manier uit te wisselen en op te slaan. Zelfs als de informatie wordt onderschept, heeft men nog niet de sleutel die nodig is om toegang te krijgen tot de persoonsgegevens.
Belang van een beveiligde VPN
Ook een VPN is een van de maatregelen die je kunt treffen bij het beschermen van je online privacy, onder meer omdat het garant staat voor de encryptie van gegevens. Een VPN of een Virtual Private Network is een veilig privénetwerk. Wanneer een medewerker verbinding maakt met het internet, ook als dat bijvoorbeeld op hotel of in de lokale bar is, wordt men verbonden met een server van een VPN-provider. Aan de gebruiker wordt vervolgens het IP-adres van de server toegewezen in plaats van het eigen IP-adres.
Voor wat de persoonsgegevens betreft, is het goed om te weten dat de volledige internetverbinding wordt versleuteld. Alle gegevens die via het internet worden uitgewisseld, waaronder dus ook persoonsgegevens, worden met andere woorden omgezet in code die bij een onderschepping niet te begrijpen is.
Je kan dit een beetje vergelijken met het rijden op de autosnelweg. Zolang je daar open en bloot rijdt, kunnen helikopters en satellieten zien wat je doet. En met een zendertje kunnen ze je stiekem afluisteren. Maar dan rijd je ineens door een tunnel en valt het signaal weg, terwijl ze niks meer zien. Zo gaat het ook bij een VPN: er wordt een tunnel gelegd van jouw vertrekpunt tot op de aankomstplek. De informatie komt dus nog steeds op de juiste bestemming aan, maar dan zonder dat hackers het kunnen onderscheppen. Het gebruik van een VPN wordt niet voor niets al langer aanbevolen door de Gegevensbeschermingsautoriteit.
Andere maatregelen om persoonsgegevens te beveiligen
Ten slotte zijn er nog heel wat andere eenvoudige manieren om datalekken te voorkomen. Het gaat bijvoorbeeld om het beschermen van accounts via MFA (multifactorauthenticatie), een goed sleutelbeleid op kantoor, een gecontroleerde en beperkte toegang tot persoonsgegevens, het voorzien van compliance-training, het hanteren van korte bewaartermijnen en dergelijke meer. In de praktijk zal een goed databeleid altijd uit een combinatie van ingrepen en beveiligingen bestaan.
Als je hier vragen over hebt, dan bieden de websites van de Gegevensbeschermingsautoriteit (België) en de Autoriteit Persoonsgegevens (Nederland) hulp bij privacy. Je vindt hier namelijk heel wat waardevolle informatie en publicaties terug, waaronder adviezen en aanbevelingen.
Belang van een goede beveiliging mag niet worden onderschat
Ondernemingen zijn verplicht om in een adequate beveiliging te voorzien. Wat al dan niet volstaat, is een feitenkwestie. Daarbij houdt men onder meer rekening met de hoeveelheid persoonsgegevens, de grootte van de onderneming en de gevoeligheid van persoonsgegevens. Van sommige ondernemingen mag er dan ook een betere beveiliging worden verwacht dan van andere. Eenvoudige maatregelen als het gebruik van een VPN mogen ook sneller worden verwacht dan complexe beveiligingstechnieken. Het is meteen een van de redenen waarom privacy-experts het gebruik van een VPN zo vaak aanbevelen.
Hoe dan ook tilt de toezichthouder heel streng aan het ontbreken van een deugdelijke beveiliging. Zo heeft de Belgische Gegevensbeschermingsautoriteit op 26 april 2021 nog een boete van 100.000 euro opgelegd aan een instelling die toegang heeft tot het kredietregister van de Nationale Bank van België. Hierbij gebruikten alle medewerkers dezelfde login en werd er niet bijgehouden wie wanneer bepaalde persoonsgegevens had geraadpleegd. In Nederland heeft de Autoriteit Persoonsgegevens zelfs al een boete van 440.000 euro opgelegd aan een Amsterdams ziekenhuis dat te weinig maatregelen had getroffen om te voorkomen dat onbevoegde medewerkers toegang konden krijgen tot medische dossiers. Het ontbreken van een goede beveiliging kan een organisatie dan ook zuur opbreken.