Please select a page template in page properties.

IV - Maatregelen

“Teneinde de veiligheid te waarborgen en te voorkomen dat de verwerking inbreuk maakt op deze verordening, dient de verwerkingsverantwoordelijke of de verwerker de aan de verwerking inherente risico's te beoordelen en maatregelen, zoals versleuteling, te treffen om die risico's te beperken. Die maatregelen dienen een passend niveau van beveiliging, met inbegrip van vertrouwelijkheid, te waarborgen, rekening houdend met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico's en de aard van de te beschermen persoonsgegevens.”

AVG - Recital 83

In de vorige modules hebben we gesproken over risico’s, principes, maatregelen en acties. Allemaal zijn ze onderdeel van de AVG, maar hoe verhouden ze zich tot elkaar? En vooral, welke maatregel moet je binnen welk type onderzoek inzetten? 

Om even warm te draaien bieden we je weer een korte quiz aan om je voorkennis te testen. De vragen geven je ook meteen een indruk van het type maatregelen die we in deze module gaan behandelen.

In deze module gaan we aan de slag met de te nemen acties en maatregelen. Want hoe kun je vanuit een risico met betrekking tot persoonsgegevens binnen een onderzoek nou komen tot de juiste maatregelen? En welke acties kun je ondernemen om de betrokkenen zo goed mogelijk te beschermen? In deze module leer je de relatie tussen deze begrippen en kijken we welke acties en maatregelen zinvol zijn om in een bepaalde context te nemen.

De leerdoelen voor deze module zijn:

  • Je hebt kennis van de verschillende acties die mogelijk of noodzakelijk zijn om ter bescherming van de persoonsgegevens van betrokkenen in te zetten;
  • Je kent de relatie en afhankelijkheden tussen de verschillende acties;
  • Je weet welke actie binnen een bepaalde onderzoeks-context relevant of verplicht is om in te zetten.

Want hoe relevant is het eigenlijk dat je de juiste acties bepaalt? Onderstaand voorbeeld over de Covid-19 tests door de GGD in 2020 en 2021 geeft helder het belang weer van een zorgvuldige omgang met persoonsgegevens. Lees dit voorbeeld eens door en probeer voor jezelf steeds te bedenken welke acties men had kunnen en moeten nemen om de persoonsgegevens beter te beschermen. 

In de spotlight


Voorbeeld: 'Covid-19 GGD tests'

De Covid-19 GGD tests

Dit artikel van de NOS maakt de impact duidelijk van een onzorgvuldige omgang met persoonsgegevens. Als je de corona-teststraat als een onderzoek ziet waarbij persoonsgegevens worden verwerkt (en zelfs bijzondere categorieën van persoonsgegevens zoals medische gegevens en het BSN) dan is de in het artikel gebleken omgang met deze persoonsgegevens om een aantal redenen niet ingericht volgens de AVG artikel 5 principes die wij kennen:

1. De vertrouwelijkheid van de gegevens is geschonden omdat iedereen die toegang had tot de database van U-Diagnostics tegelijkertijd toegang had tot alle gegevens van alle geteste personen. Tevens bleek het systeem niet goed beveiligd, waardoor derden bij de gegevens konden. Voorts werd er naast de database een WhatsApp groep gebruikt om landelijk informatie uit te wisselen. Dat schond opnieuw de vertrouwelijkheid aangezien nu ook op een ander platform een deel van de gegevens (zoals de foto, het paspoort etc) werd gedeeld met alle 300 gebruikers in de groep.

2. De proportionaliteit van de verzamelde gegevens was ook in het geding. Zo gaf de GGD zelf in hun privacyverklaring aan dat de volgende persoonsgegevens vereist waren ten behoeve van een corona test:

  • Voornaam & achternaam
  • Adres, of een andere plaats waar je bent als je niet thuis bent. Bijvoorbeeld op vakantie.
  • Geboortedatum
  • Of je man of vrouw bent, niet gespecificeerd of onbekend
  • Burger Service Nummer (BSN)
  • Telefoonnummer
  • E-mailadres
  • Je klachten
  • Streepjescode testbuisje
  • Uitslag van de coronatest
  • Eventueel: naam van de arts die de test aanvraagt
  • Of je direct contact hebt gehad met anderen
  • Of je gewerkt hebt, en zo ja in welke beroepsgroep je werkt

In het artikel van de NOS is te lezen dat kennelijk ook de reisbestemming en de opdrachtgever van de geteste persoon werd geregistreerd. Door deze gegevens te combineren was onder andere duidelijk welke militairen (paspoortnummer, BSN, adres) naar welke landen werden uitgezonden. Bovenstaand voorbeeld geeft aan dat als een organisatie niet de goede maatregelen neemt men in feite dus een datalek creëert: een ‘data breach by design’. 

We hebben je uitgenodigd om vanuit het perspectief van ‘de betrokkene’ te kijken naar een voorbeeld van een actueel onderzoek. We gaan nu verder vanuit het perspectief van de onderzoeker en de onderzoeksondersteuner, waarbij we het perspectief van de onderzoeksdeelnemer (de betrokkene) meenemen in onze overwegingen.


Veel succes gewenst met deze module!