Kennis items

10 Aandachtspunten AVG

Nsecure zet de 10 belangrijkste aandachtspunten voor de impact van de AVG op toegangsmanagement op een rijtje

 

Alexander Snel
CISSP CIPP/E - Information security & Privacy
22 mei 2018

Het is u vast niet ontgaan, per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. Maar bent u volledig op de hoogte en u bewust wat de effecten zijn als het gaat om toegangsmanagement? Nsecure neemt u graag mee in de 10 belangrijkste aandachtspunten zodat uw organisatie voldoet aan de nieuwe wetgeving.

1. Bepaal of cameratoezicht aan de AVG voldoet

Cameratoezicht op de werkplek mag niet op zichzelf staan. Het moet onderdeel zijn van een totaalpakket aan maatregelen en het moet noodzakelijk zijn. Dit moet blijken uit een Data Protection Impact Assessment (privacy toets).

2. Biometrie en toegangscontrole: let op de voorwaarden!

De Uitvoeringswet AVG biedt, onder voorwaarden, ruimte voor de toepassing van biometrie binnen toegangscontrole. Zorg dat aantoonbaar aan deze voorwaarden wordt voldaan als binnen uw toegangscontrolesysteem biometrische gegevens worden verwerkt.

3. Zorg dat u alle verwerkers in beeld heeft

Een IT-dienstverlener is een verwerker. Maar is uw receptie of beveiligingsloge bemand door een externe partij? Dan moet u ook met deze partijen een verwerkersovereenkomst afsluiten.

4. Bezoekersregistratie? Weet wat u vastlegt

Is het echt nodig om allerlei persoonsgegevens van uw bezoeker te registeren? Of is alleen een voor- en achternaam voldoende? Kijk hier kritisch naar zodat u aan de basisprincipes van gegevensminimalisatie voldoet.

5. Bewaar gegevens niet langer dan nodig

Voor veel gegevens geldt geen maximale bewaartermijn, zolang u kunt aantonen wat het doel is waarom deze gegevens verzameld zijn. Gegevens van oud-medewerkers bewaren in het toegangscontrolesysteem voor analysedoeleinden, is dus niet zomaar toegestaan.

6. BSN: geen bijzonder persoonsgegeven, wel zo behandelen

Onder de AVG is het BSN-nummer geen bijzonder persoonsgegeven meer. Het mag door bedrijven echter nog steeds alleen worden verwerkt wanneer een wettelijke verplichting geldt. Houd er rekening mee dat een scan van een paspoort met het BSN-nummer ongemaskerd ook geldt als verwerking.

7. Bewaak privacy rechten van je relaties en medewerkers

De nieuwe wet biedt meer en verbeterde privacy rechten voor iedereen waarvan persoonsgegevens worden verwerkt en vastgelegd. Inzage in deze gegevens moet eenvoudig. Iedereen kan gegevens laten corrigeren, op verzoek laten verwijderen of beschikbaar laten stellen aan andere organisaties.

8. Pas op met persoonsgegevens via e-mail

E-mail wordt veelvuldig gebruikt om persoonsgegevens uit te wisselen. Zonder versleuteling kunnen berichten worden onderschept. Gebruik dus een andere verzendmethode of maak gebruik van versleuteling. Maak ook afspraken met uw klanten en leveranciers over hoe zij u (veilig) persoonsgegevens aanleveren.

9. Datalekken kunnen overal optreden

Niet alleen bij de IT-afdeling liggen risico’s, ook bij de receptie waar een uitgeprinte lijst met bezoekers van die dag voor het grijpen ligt, is een potentiele bron van een datalek.

10. Bewustzijn is belangrijk

Weten uw beveiligers en receptiemedewerkers ook wat er van hen verwacht wordt op privacy gebied en weten zij hoe ze correct moeten omgaan met persoonsgegevens? Voldoen aan de AVG valt of staat met bewustzijn van de mensen op de werkvloer.

Gerelateerde

Onderwerpen

Alexander Snel CISSP CIPP/E - Information security & Privacy
Meer informatie

Vragen

Meer weten over dit onderwerp? Neem dan contact op.