Smartlockr Blog: E-mail- en databeveiliging

Wat zijn persoonsgegevens volgens de AVG?

Geschreven door Smartlockr | 22-9-22 7:51

Sinds 2016 moeten alle bedrijven, organisaties en overheden binnen de EU zich houden aan de AVG, de Algemene Verordening Persoonsgegevens. In de AVG wordt geregeld dat iedereen die met persoonsgegevens omgaat dat veilig moet doen en dat er geen onbevoegden toegang kunnen krijgen tot die gegevens. Maar wat zijn persoonsgegevens en hoe wordt er in de AVG geregeld dat die beschermd zijn? En wanneer geldt eigenlijk de NTA 7516-norm voor het werken met persoonsgegevens? Je leest het allemaal in deze blog.

De AVG in 7 stappen

 

Wat is de AVG?

De AVG staat voor Algemene Verordening persoonsgegevens. Deze Europese verordening is geldig in de hele EU en is in het leven geroepen om privégegevens van mensen te beschermen. In internationaal verband wordt vaak de Engelse term voor de AVG gebruikt: GDPR (General Data Protection Regulation).

In Nederland ziet de Autoriteit Persoonsgegevens (AP) toe op de naleving van AVG. De AP kan flinke boetes opleggen aan organisaties die de AVG overtreden. En ondanks deze regelgeving zijn er jaarlijks aardig wat organisaties die (on)bewust de regels overtreden. Daar zitten ook veel kleinere lekken bij, zoals die van de AP zelf toen ze vergeten waren ontvangers van een mail in het bcc-veld in plaats van het cc-veld te zetten. Het begint natuurlijk met welke gegevens onder de AVG vallen. Kortom: wat zijn die persoonsgegevens precies?

 

Wat zijn persoonsgegevens volgens de AVG?

Persoonsgegevens zijn alle gegevens die herleidbaar zijn naar een persoon. Dat begrip is ruim en er valt heel veel verschillende informatie onder. Denk bijvoorbeeld aan:

  • NAW-gegevens, oftewel naam, adres en woonplaats. Ook telefoonnummers en postcodes met huisnummers vallen hieronder.

  • Burgerservicenummer (BSN) Dit is een uniek nummer die iedereen krijgt als je bent ingeschreven in de Basisregistratie Personen (BR). Het wordt gebruikt voor contact tussen burgers en de overheid en voor overheden onderling. Als dit nummer in verkeerde handen valt, kan hiermee gefraudeerd worden. Identiteitsfraude is een van de mogelijke gevolgen.

  • Creditcardnummers en overige bankgegevens. Ook deze gegevens kunnen worden herleid naar een persoon.

Deze lijst kun je zo lang maken als je wilt. Ook een lidmaatschap van een sportclub, het kenteken van je auto of de krant die je thuis ontvangt zijn persoonsgegevens. Naast de bovenstaande standaardgegevens is er nog de categorie bijzondere persoonsgegevens waar extra strenge regels voor gelden.

 

Wat zijn bijzondere persoonsgegevens volgens de AVG?

Naast de gewone persoonsgegevens zijn er ook nog de bijzondere persoonsgegevens. Wie daarmee te maken heeft moet nog voorzichtiger te werk gaan. Deze groep bijzondere gegevens kan zeer gevoelige informatie bevatten, zoals afkomst, religie, politieke voorkeur en bijvoorbeeld lidmaatschap van bepaalde verenigingen. Maar ook gezondheidsgegevens, genetische informatie en biometrische data vallen hieronder.

De bijzondere persoonsgegevens

  • Gegevens met ras of etnische afkomst;
  • gegevens met politieke opvattingen;
  • persoonsgegevens met religieuze of levensbeschouwelijke overtuiging;
  • lidmaatschap van een vakvereniging;
  • gezondheidsgegevens;
  • informatie over seksueel gedrag of seksuele geaardheid;
  • genetische gegevens;
  • biometrische gegevens.

Alle gegevens die als bijzonder persoonsgegeven worden gezien zijn extra beschermd onder de AVG. Voor overheden, de juridische sector en de zorg geldt daarom de NTA 7516-norm als je dit soort gegevens per mail wil versturen. Die norm is in het leven geroepen om dit soort gevoelige data extra goed te beschermen tegen mogelijke datalekken.

 

Wat wordt er geregeld in de AVG?

In de AVG staat omschreven hoe bedrijven, instanties en overheden met persoonlijke gegevens om moeten gaan. In het kort gelden daarvoor de volgende basisregels:

 

Basisregels van de AVG

  • Degene van wie de gegevens verwerkt worden moet hiervoor bewust toestemming hebben gegeven.
  • Het is voor degene die de gegevens heeft afgegeven is duidelijk waarom de persoonsgegevens nodig zijn.
  • Je mag alleen gegevens verzamelen die je daadwerkelijk nodig hebt.
  • De gegevens mogen alleen worden gebruikt voor het doel waarvoor ze zijn ingezameld. (Iemand die bijvoorbeeld zijn e-mailadres door heeft gegeven voor een nieuwsbrief mag je geen commerciële aanbiedingen sturen van andere partijen.)
  • De gegevens moeten altijd juist zijn. Iemand mag zijn of haar gegevens altijd inzien en kan eisen dat ze aangepast worden als ze niet kloppen.
  • Je mag de gegevens niet langer bewaren dan nodig.
  • De persoonsgegevens moeten beschermd worden tegen verlies, onbedoelde verwijdering en door onbevoegden.
  • Degene die de persoonsgegevens verwerkt of bewaard moet kunnen aantonen aan de bovenstaande regels te voldoen.

 

 

Persoonsgegevens per email versturen? Veilig mailen met NTA 7516

Het is toegestaan om persoonsgegevens per mail te versturen. Maar daar zijn dan wel de nodige regels aan verbonden. Zo moet je de juiste versleuteling gebruiken en ervoor zorgen dat alleen de juiste mensen de mail krijgen. Voor het mailen van bijzondere persoonsgegevens gelden strengere eisen dan het versturen van normale persoonsgegevens. Wie werkt in de zorg, juridische sector of bij bijvoorbeeld een gemeente, moet aan de NTA 7516-norm voldoen. Er zijn een aantal dingen waar je als verzender en ontvanger van persoonsgegevens rekening mee moet houden:

Opslaan van de gegevens: laat e-mails met persoonsgegevens nooit lang in je inbox staan. Sla ze, als je de gegevens moet bewaren, op de juiste plaats en verwijder de e-mail. Houd er ook rekening mee dat de AVG-beperkingen oplegt aan hoe lang je bepaalde gegevens mag bewaren.

Versleuteling: Bijzondere persoonsgegevens mogen niet zomaar per mail worden verzonden. Berichten met bijzondere persoonsgegevens in de mail of in het attachment mogen alleen beveiligd worden verstuurd. Wist je dat Smartlockr automatisch detecteert of gegevens versleuteld moeten worden? Als het nodig is, versleutelt Smartlockr de berichten voor je zonder dat jij iets hoeft te doen.

Gebruik multifactor-authenticatie: Dit zorgt ervoor dat gevoelige informatie niet bij de verkeerde persoon terecht kan komen. Daarmee kun je een datalek heel eenvoudig voorkomen. Het type multifactor-authenticatie dat je nodig hebt, is onder andere afhankelijk van de persoonlijke gegevens die in je bericht staan.

 

Wat heb ik nodig om persoonsgegevens veilig digitaal te versturen?

In een groeiende digitale samenleving is er een steeds grotere behoefte om persoonsgegevens te kunnen delen met collega's, klanten en partners. De publieke en private sector wisselen dagelijks dit soort informatie uit. Maar dat moet dan natuurlijk wel veilig gebeuren. Hoe? Volg onderstaand stappenplan en ontdek wat jij nodig hebt. Wil je zeker zijn van foutloze omgang met de data binnen jouw organisatie? Download ons gratis Whitepaper en leer hoe je een datalek te slim af kunt zijn.

Stap 1: Beoordeel de informatie
Beoordeel welke informatie die je verwerkt gevoelig is of kan zijn. Daar horen onder andere persoonsgegevens bij. Maar voor veel organisaties geldt dat er ook andere (bedrijfs)gegevens zijn die niet in verkeerde handen mag komen.

Stap 2: Wat zijn de zwakke punten in de communicatieketen?
Maak een risicobeoordeling en identificeer mogelijke zwakke punten in de communicatie. Verstuur je bijvoorbeeld een fax? Dan is het onmogelijk om 100 % zeker te zijn dat de bedoelde ontvanger bij het faxapparaat is wanneer jouw bericht uit de fax rolt. Een koerier als alternatief? Dat lijkt een prima plan, maar er is altijd de kans dat ze je documenten bij de verkeerde ontvanger bezorgen.

Stap 3: Wat is de oplossing die hierbij past?
Nu je de risico’s kent is het zaak deze te pakken met de juiste oplossing. Vaak is dat een combinatie van enkele oplossingen. Het aanstellen van mensen die verantwoordelijk zijn voor de beveiliging is een eerste mogelijkheid. Maar ook het continu trainen van je medewerkers hoort erbij. Een erg handige manier om je cyberveiligheid op orde te krijgen is het gebruik van digitale oplossingen die je helpen met encryptie, authenticatie, opslag enzovoort.

Smartlockr beschermt jouw gevoelige gegevens - van persoonlijke informatie tot zakelijke gegevens. Lees meer over hoe je jouw organisatie kunt beschermen tegen datalekken in het gratis e-book. Deze download je hieronder.