AVG ontraadseld

In de praktijk zien we dat artikel 32 van de AVG grote verwarring oproept bij verwerkers en verwerkingsverantwoordelijken. Zij moeten namelijk allebei passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen. De AVG eist maatregelen “rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen”. Hoe je hier echter concreet invulling aan geeft, staat niet beschreven. De AVG biedt een aantal handreikingen omtrent pseudonimisering, herstellen van beschikbaarheid bij incidenten en een procedure voor evaluatie, maar veel organisaties hebben geen idee wat ze nu precies moeten doen. Dat begint al bij de verwerkersovereenkomst: wat moet er nu ingevuld worden? Welke maatregelen zijn passend en heeft mijn organisatie wellicht al getroffen? En welk beveiligingsniveau waarborgen we nu en in de toekomst?