Waarom IT-security slechts een onderdeel van uw privacy-beleid vormt

Het antwoord is eenvoudig: omdat de nieuwe privacywet vooral gaat over WAT u moet beveiligen en veel minder over HOE u dat doet middels IT-security. Sterker nog, op een totaal van 99 artikelen in de Algemene Verordening Gegevensbescherming (AVG/GDPR, de nieuwe Europese privacywet) gaat maar één artikel over de “beveiliging van de verwerking” (art. 32). De rest gaat vooral over de beginselen van de verwerking van persoonsgegevens en over de rechten van betrokkenen. Ik noem hieronder enkele voorbeelden die illustreren wat ik bedoel:

Doelbinding van persoonsgegevens

De gegevens die u verzamelt en verwerkt moeten doel-gebonden zijn. Dat betekent dat u gehouden bent om in ieder geval uw doel voor het verwerken van persoonsgegevens te benoemen. Dat kan van alles zijn en u mag dat zelf bepalen zolang het maar gerechtvaardigd en specifiek genoeg is. Denk bijvoorbeeld aan “op tijd betalen van salarissen” of aan “klanten de meest toepasselijke aanbiedingen kunnen doen”.

Dataminimalisatie

Als u een doel voor de verwerking benoemd hebt, dan mag u onder de AVG niet meer persoonsgegevens verwerken dan strikt voor dat doel noodzakelijk is. Wilt u meer gegevens van iemand, dan zal uw relatie daar expliciet toestemming voor moeten geven. Dit is een wettelijke vereiste voor alle organisaties en u zult daar bij het ontwikkelen van (nieuwe) diensten van meet af aan rekening mee moeten houden.

Bewaartermijnen

Zodra het doel waarvoor u de persoonsgegevens verwerkt bereikt is, mag u deze gegevens in principe niet meer bewaren. Dat wil zeggen niet in een vorm die het mogelijk maakt om de betrokkenen langer te identificeren dan voor het doel nodig is. Als u ze voor bijvoorbeeld statistische doeleinden wilt blijven gebruiken, zult u de gegevens moeten anonimiseren zodat ze niet meer gekoppeld kunnen worden aan een natuurlijk persoon.

Dit zijn slechts drie voorbeelden die aangeven dat organisaties vooral moeten gaan nadenken over WAT ze willen (en mogen!) beveiligen. Er zijn natuurlijk nog veel meer zaken waar u onder de nieuwe privacywet rekening mee moet houden naast IT-security. Wilt u daar meer over weten? Bekijk dan onze gratis whitepapers.