AVG: hoe beveilig ik mijn data op een correcte manier?

Wanneer je persoonsgegevens verwerkt heb je de ethische én juridische verplichting om ervoor te zorgen dat persoonsgegevens voldoende beschermd worden voor, tijdens en na je onderzoek.

Het basisniveau van beveiliging moet altijd overeenkomstig het informatieveiligheidsbeleid van de UGent zijn. Specifiek voor elke verwerking of onderzoek kunnen echter bijkomende maatregelen noodzakelijk zijn. De keuze van de bijkomende beveiligingsmaatregelen gebeurt op basis van een inschatting van de risico’s van de verwerking. Een meer risicovolle verwerking zal gepaard moeten gaan met een meer uitgebreide set van veiligheidsmaatregelen.

Op het vlak van databescherming worden anonimisering, pseudonimisering en encryptie door de AVG naar voor geschoven en soms zelf verplicht als waarborg.

Anonimiseren

Wanneer je zelf persoonsgegevens verzamelt en die nadien anonimiseert, dan valt deze verwerking van anonimiseren onder de AVG. Anonimiseren houdt in dat de betrokkene (de individuele persoon waarop de gegevens betrekking hebben) nadien niet meer kan worden geïdentificeerd en het niet mogelijk is om de betrokkene te her-identificeren. Let hierbij op dat het ook niet mogelijk mag zijn om een persoon te (her)identificeren door de koppeling van deze dataset aan een andere dataset (al dan niet in het bezit van de onderzoeker).

Pseudonimiseren

Indien anonimisering niet mogelijk (of wenselijk) is, wordt aangeraden om persoonsgegevens zo snel mogelijk te splitsen van de onderzoeksdata (pseudonimiseren). Het sleutelbestand dat de link bevat tussen onderzoeksdata en persoonsgegevens moet hierbij op een aparte en veilige plaats bewaard worden en bij voorkeur geëncrypteerd. Voor het dagdagelijks gebruik wordt dan bij voorkeur gewerkt met de gepseudonimiseerde in plaats van met de niet-gepseudonimiseerde dataset. De toegang tot ruwe persoonsgegevens dient sterk beperkt te worden.

Encryptie

Het gebruik van versleuteling of encryptie voor de opslag of bij de doorgifte van data wordt ook sterk aanbevolen door de AVG. Je kan ervoor kiezen om één of enkele bestanden encrypteren of om de volledige systeemschijf van je laptop of computer te encrypteren. Voor een overzicht van verschillende encryptiemogelijkheden bekijk zeker de handleiding encryptie voor onderzoekers.

Andere maatregelen

Naast anonimiseren, pseudonimiseren en encryptie zijn er nog een heleboel andere organisatorische en technische beveiligingsmaatregelen die het risico voor de betrokken inperken zoals:

  • bewaring van databestanden of documenten op de UGent netwerkschijven of centraal aangeboden opslagmogelijkheden
  • gebruik van een beveiligde VPN voor draadloze apparaten
  • multi-factor authenticatie (MFA) om accounts te beschermen
  • clean desk policy en zorg dat computers zich na een bepaalde tijd van inactiviteit automatisch vergrendelen
  • sleutelbeleid van kantoren
  • gebruik van schermbeveiliging Windows L-toets om scherm te blokkeren
  • beperkte en gecontroleerde toegang tot de persoonsgegevens
  • gebruik van veilige systemen voor doorgifte van data (bv. Filesender van Belnet)
  • gebruik van veilige procedures voor het vernietigen van data
  • Voorzien van een (periodieke) compliance-training over gegevensbescherming en informatiebeveiliging voor collega-onderzoekers en partners 
  • gebruik van hashing
  • gebruik van randomisatie
  • onderzoeksdeelnemers de mogelijkheid geven om zich in elk stadium van het onderzoek af te melden
  • vermijden dat persoonsgegevens de EER verlaten
  • vermijden om onderzoekresultaten te gebruiken om beslissingen te nemen die rechtstreeks van invloed zijn op individuen
  • het hanteren van korte bewaartermijnen
  • het risico op stigmatisering verlagen door te werken met een grote populatie; de gegevens worden met ‘ruis’ bedekt om stigmatisering te vermijden
  • het consequent toepassen van dataminimalisatie voor, tijdens en na het onderzoek; voortdurend her-evalueren van welke persoonsgegevens strikt noodzakelijk zijn voor de onderzoeksdoeleinden
  • extra waarborgen nemen m.b.t. de mailbox: bedenktermijn van enkele seconden om de verzending van mails te annuleren, extra bevestiging vereist bij mail aan meerdere personen, …
  • gebruik van actuele, veilige en regelmatig gecontroleerde back-upprocedure
  • gebruik van systematische (anti-malware) software-updates

Meer informatie en tips over veilig omgaan met je data vind je op de pagina over dataveiligheid.

Meer tips

Translated tip


Laatst aangepast 13 september 2021 09:21