Wat zijn de regels voor bescherming klantgegevens?
Hoe beveilig je de gegevens van je klanten?
Als eigenaar van een bedrijf beschik je over persoonsgegevens van je klanten. Je moet daarom voldoen aan de regels over verwerking en gebruik van deze gegevens.
Als eigenaar van een bedrijf, bijvoorbeeld als (startende) webwinkelier heb je te maken met diverse regels en wetten. De Algemene verordening gegevensbescherming (AVG) verplicht je om zorgvuldig om te gaan met klantgegevens. Eén aspect daarvan is de beveiliging van je gegevensverwerking. Je moet passende technische en organisatorische maatregelen nemen om het verlies van gegevens of onrechtmatige verwerking tegen te gaan. Als webwinkelier heb je te maken met online klantgegevens die kwaadwillenden zouden kunnen onderscheppen bij gebrekkige beveiliging.
Wat is een passend beveiligingsniveau?
Organisatorische maatregelen kunnen bijvoorbeeld inhouden dat maar een beperkt aantal personen toegang heeft tot je computersysteem. De (technische en organisatorische) maatregelen die je neemt, moeten een passend beveiligingsniveau garanderen. Passende beveiliging betekent dat je in je keuze voor de methode van beveiliging de volgende elementen moet meewegen:
De risico’s van de verwerking en de aard van de te beschermen gegevens. Hoe gevoeliger de gegevens, hoe zwaarder de toegepaste beveiliging moet zijn. Zijn de gegevens minder gevoelig, dan hoef je niet steeds de zwaarst mogelijke beveiligingsmaatregelen nemen.
Je moet rekening houden met de stand van de techniek en de kosten van de maatregelen.
Zijn de kosten van beveiliging wel te overzien?
Als de kosten van extra maatregelen uitzonderlijk hoog zijn ten opzichte van de toename in beveiligingsniveau, dan zijn die maatregelen niet passend en hoef je ze dus niet te nemen. Kun je echter tegen geringe kosten komen tot een beduidend veiliger systeem, dan moet je deze maatregelen zeker nemen. De (technische en organisatorische) maatregelen moeten er mede op gericht zijn onnodige verzameling of verdere verwerking te voorkomen. Bij dit laatste kun je denken aan het gebruik van bijvoorbeeld versleuteling van persoonsgegevens. De beveiliging moet steeds adequaat zijn. Dat betekent ook dat je periodiek moet nagaan of je systeem aanpassing behoeft, bijvoorbeeld door technologische ontwikkelingen.
Welke maatregelen kan ik nemen?
In het artikel 'Een bedrijf afstemmen op de AVG in tien stappen' lees je hoe je kunt voldoen aan de privacywetgeving. Belangrijke stappen daarin zijn je privacystatement en ervoor zorgen dat je van elke klant toestemming hebt om zijn gegevens op te slaan en te verwerken.