Privacy by design en privacy by default
Een onderneming moet passende organisatorische en technische maatregelen nemen om de verwerking van persoonsgegevens te beschermen.
Zo moet er bij de ontwikkeling van nieuwe systemen of de invoering ervan duidelijk nagedacht worden over de privacy en de bescherming van persoonsgegevens. Er dienen verschillende beveiligingsmaatregelen ingebouwd te worden. Dit wordt ook wel 'privacy by design' genoemd. In alle systemen en programma’s moet de standaardinstelling bovendien de hoogst mogelijke bescherming bieden, zodat privacy-vriendelijke instellingen de norm zijn. Dit wordt ook wel 'privacy by default' genoemd.
Voorbeelden van gepaste technische en organisatorische maatregelen
De GDPR geeft enkele voorbeelden van beveiligingsmaatregelen:
- De pseudonomisering
- De versleuteling
- Het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen
- Het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen
- Procedures om regelmatig de doeltreffendheid van de technische en organisatorische maatregelen te testen, beoordelen en evalueren
De werkgever moet dan ook maatregelen treffen zodat werknemers of consultants die handelen onder zijn gezag en toegang hebben tot specifieke persoonsgegevens deze slechts verwerken in het kader van hun opdracht, tenzij Unierechtelijke of lidstaatrechtelijk anders bepaalt. In dit kader kan de werkgever een ICT-policy voorleggen aan zijn werknemers die de regels over het gebruik van persoonsgegevens, maar ook over de beveiliging van het systeem uiteenzet. Contacteer uw Legal advisor voor meer informatie hierover.