Wat zijn de regels voor de bescherming van klantgegevens?

Hoe beveilig je de gegevens van je klanten?

Als eigenaar van een webwinkel beschik je over persoonsgegevens van je klanten. Je moet daarom voldoen aan de regels over verwerking en gebruik van deze gegevens. Zo moet je op je site aangeven welke persoonsgegevens je gebruikt en waarvoor. Zonder toestemming van de klant mag je deze gegevens niet aan derden doorgeven. Je moet persoonsgegevens ook beveiligen tegen misbruik door werknemers of hackers.

Als (startende) webwinkelier heb je te maken met diverse regels en wetten. De Wet Bescherming Persoonsgegevens (Wbp) verplicht je om zorgvuldig om te gaan met klantgegevens. Eén aspect daarvan is de beveiliging van je gegevensverwerking. Je moet passende technische en organisatorische maatregelen nemen om het verlies van gegevens of onrechtmatige verwerking tegen te gaan. Als webwinkelier heb je te maken met online klantgegevens die kwaadwillenden zouden kunnen onderscheppen bij gebrekkige beveiliging

Wat is een passend beveiligingsniveau?

Organisatorische maatregelen kunnen bijvoorbeeld inhouden dat maar een beperkt aantal personen toegang heeft tot je computersysteem. De (technische en organisatorische) maatregelen die je neemt, moeten een passend beveiligingsniveau garanderen. Passende beveiliging betekent dat je in je keuze voor de methode van beveiliging de volgende elementen moet meewegen:

De risico’s van de verwerking en de aard van de te beschermen gegevens. Hoe gevoeliger de gegevens, hoe zwaarder de toegepaste beveiliging moet zijn. Zijn de gegevens minder gevoelig, dan hoef je niet steeds de zwaarst mogelijke beveiligingsmaatregelen nemen.
Je moet rekening houden met de stand van de techniek en de kosten van de maatregelen.

Zijn de kosten van beveiliging wel te overzien?

Als de kosten van extra maatregelen uitzonderlijk hoog zijn ten opzichte van de toename in beveiligingsniveau, dan zijn die maatregelen niet passend en hoef je ze dus niet te nemen. Kun je echter tegen geringe kosten komen tot een beduidend veiliger systeem, dan moet je deze maatregelen zeker nemen. De (technische en organisatorische) maatregelen moeten er mede op gericht zijn onnodige verzameling of verdere verwerking te voorkomen. Bij dit laatste kun je denken aan het gebruik van bijvoorbeeld versleuteling van persoonsgegevens. De beveiliging moet steeds adequaat zijn. Dat betekent ook dat je periodiek moet nagaan of je systeem aanpassing behoeft, bijvoorbeeld door technologische ontwikkelingen.

Waar vind ik informatie over concrete beveiligingsmaatregelen?

De Wbp bevat geen concrete normen voor de beveiliging. In de praktijk zijn standaarden voor beveiligingen ontwikkeld. Je kunt deze bijvoorbeeld vinden via brancheorganisaties. De adressen van een aantal brancheorganisaties vind je in de handleiding onder het tabblad 'downloads'. Je moet bij je keuze in beveiliging wel steeds nagaan of je beveiliging voldoet aan de algemene normen van de Wbp en dus of deze passend en adequaat is. Het College bescherming persoonsgegevens houdt toezicht op de naleving van de Wbp en dus ook op de vraag of je je gegevensverwerking adequaat hebt beveiligd.Wanneer je een bewerker inschakelt,moet je ervoor zorgen dat deze eveneens passende beveiligingsmaatregelen neemt.

Een complete handleiding voor verwerkers van persoonsgegevens kun je gratis downloaden in het tabblad 'downloads' bovenaan dit artikel.