Het is niet zo relevant om op te sommen welke maatregelen allemaal wel en niet genomen zijn, want dat doet de
wet ook niet. De wet heeft het er alleen over dat je passende maatregelen moet nemen, en gaat er daarbij van uit
dat die overeenkomen met de stand der techniek. Het is dus niet verplicht om quantum encryptie toe te passen ook al
zou dat beter zijn dan huidige technieken.
Daarnaast is het ook nog eens zo dat zolang er niks mis gaat er geen probleem is, en als er wel wat mis gaat je
hooguit wat uit te leggen hebt. De verhalen over miljoenenboetes zijn er vooral om angst aan te jagen en komen met
name van belanghebbenden. Er zijn geen middelen om processen aan te spannen waarin deze boetes daadwerkelijk
opgelegd worden, zeker nu niet (men zal het veel te druk hebben met dingen uitleggen en uitzoeken).

Waar je je nu vooral mee bezig moet houden is vastleggen wat je doet en niet doet. En kritisch kijken naar wat je
voor persoonsgegevens vastlegt en of dat wel nodig is. Veel administraties bevatten standaard informatie die nou
eenmaal alle administraties bevatten, en daar moet je mee stoppen. Leg alleen vast wat er nodig is voor het specifieke
doel waarvoor je een administratie voert. Dat heeft een veel hogere prioriteit dan een certificaatje hier of een TLS
verbindinkje daar.

Dit een probleem wat bij veel kleinere administratie kantoren wordt gezien. De moraal van het verhaal is eigenlijk; mail geen persoonsgegevens!!

Voor de communicatie met klanten zou je eigenlijk met een portal moeten werken. Dat kan vrij simpel en goedkoop door bijvoorbeeld NextCloud oid te gebruiken, hier zitten voldoende opties, encryptie en logging in om aan de AVG te voldoen. Men krijgt dan bijvoorbeeld netjes een mailtje wanneer de bv de loonstroken e.d. klaar staan om gedownload te worden.

Certificaten zouden ten alle tijden van een public CA moeten komen, dit zijn tegenwoordig de kosten niet meer, gratis of vanaf 8 euro per jaar.

Wat betreft mail is TLS, DKIM e.d. zeker de moderne standaard. Maar de moraal blijft, mail geen persoonsgegevens!

De AVG verplicht geen specifieke maatregelen, maar vraagt wel om maatregelen die passen bij het risico. Je kunt dus niet zeggen dat harddisk-encryptie verplicht is, maar het is wel een redelijke maatregel die eenvoudig toe te passen is en het risico sterk verlaagt. Als zo'n schijf ooit gestolen wordt en je moet een melding doen bij de AP, dan heb je denk ik toch een probleem als je moet melden dat je de schijf niet versleuteld had. Idem dito voor andere "redelijke" maatregelen.

Waarom denk je dat? Hij schreef toch dat er geen klantdata op staat, het zijn werkstations.
Waarom zou je je werkstation disk versleutelen, het OS is toch bekend bij iedereen, dat hoef je niet te versleutelen.
Dit gaat uiteraard wel uit van goed ingerichte werkstations waar medewerkers niet toch stiekem copietjes van excel
sheets met allerlei klantinfo op kunnen zetten.

Zo te horen heb je al een heleboel maatregelen genomen om dataverlies te beperken. Heb je al op papier gezet welke persoonlijke informatie het administratiekantoor verwerkt en hoe die informatie beschermd wordt? (Dat is verplicht onder de AVG, maar het hoeft geen lang document te zijn.)
Als je backups extern bewaart is het een goed idee om ze te versleutelen. (Bewaar de sleutel op papier in een dichte envelop.) Waarom staan de emails op de werk-pc's? Is IMAP toegang via (alleen) het LAN niet veiliger?

twee keer vraag 4.
vraag 4: backups moeten niet versleuteld zijn, backups moeten gemaakt worden om verlies van de originele bestanden te overleven of om terug in de tijd te kunnen ergens voor. Die eerste backup je offsite, voor het geval er brand oid is, de 2e kan prima onsite. De eerste encrypt je, zodat bij een onvolko,enheid extern je alleen de backup kwijt bent, maar er niemand verder iets mee kan. Syncbackpro (software) backupt mijn bestanden tegen een offsite harddisk op een pc in een kelder, en zip-wachtwoord-encrypt dat. niet heel goed, maar ik doe iets, beschrijf dat, en daarmee voldoe ik aan zorgplicht.

2e vraag 4:
Dus een persoon zet die pc aan, wachtwoord zit in het register geschreven waar iedereen dit dan uit kan halen, en mail opent gewoon ingelogd en wel? Dus als ik die pc steel heb ik alles? En als medewerker A de pc pakt van medewerker B... Brrr... fix dat snel.
vraag 5.
Harddisk encryptie is niet verplicht, maar waarom zou je het niet doen? als er geen onvervangbare data op staat, is er ook geen reden die disk in een andere pc te willen stoppen. plus dat je je enctryptie-string gewoon in je keepass kunt stoppen.

Dank voor de antwoorden.

"Waarom staan de emails op de werk-pc's? Is IMAP toegang via (alleen) het LAN niet veiliger?"

IMAP doen we al, maar bestanden staan lokaal. En de email server staat thuis, niet op kantoor. Ik heb al besloten om de email bestanden te verplaatsen van de lokale PC's naar de server. En disk encryptie ga ik ook doen. Ik was altijd huiverig omdat ik slechte ervaring daarmee heb (sleutel weg) maar aangezien er geen persoonlijke data op de PC staat volstaat herinstallatie van de PC. Even werk, maar het moet maar.

Restrisico is de fileserver zelf, een Synology. Die staat niet in een datacenter, maar in een afgesloten kast. Zal eens kijken of die is uitgerust met harddisk encryptie.
Email gaan we niet versleutelen. En brieven versturen is ook geen oplossing, uploaden naar een webserver ook niet. Ook die kan weer gehacked worden.

Mijn beste tip komt uit een veel ouder wetboek: Wat gij niet wilt dat u geschiedt, doe dat ook een ander niet.

Harddisk Encryptie: Zorg in je prive opstelling onder de trap, dat je er een dikke UPS bij hebt. Een niet ge-encrypte server boot gewoon weer na een storing. Alles weer in de lucht. Maar een server met schijf encryptie kan dat niet. Daar moet dan opnieuw het wachtwoord voor decryptie van de schijf worden ingevoerd. Eigenlijk wel heel logisch ook. Maar heb je een server die normaal autonoom werkt (zonder scherm en keyboard), dan is het steeds weer keyboard zoeken, scherm zoeken, aansluiten, weer die hele bak onder de tap weg trekken, en dan kan het als je op een slecht net zit, heel vervelend gaan worden.

Opnieuw bedankt voor alle antwoorden. Hier heb ik veel aan.
Verbeterpunten zijn beter omgaan met de werkplekken (en nee, ik wil juist geen werkplek per personeelslid, en diefstal wordt altijd direct de volgende morgen ontdekt.
Medewerker A die pc pakt van medewerker B, iedereen heeft eigen accounts met een wachtwoord en het admin wachtwoord is niet bekend.
Medewerkers hebben aantoonbare kennis van informatiebeveiliging, en ja, een stukje vertrouwen ontkom je niet aan.

Wel opnieuw mijn actie om diskencryptie aan te zetten en de pst bestanden naar de server te verhuizen.

Ik reageerde op

dan denk ik dat er flink wat mensen een probleem gaan hebben. diskencryptie is verre van standaard volgens mij.

Verkeerde vraag, en feitelijk geef je het antwoord zelf al boven die vraag.

Versleutelen van vertrouwelijke informatie is alleen zinvol als je redelijkerwijs kunt vaststellen dat de mensen met wie jij de sleutel (s) deelt, zijn wie ze zeggen dat zij zijn (onder voorbehoud dat je ook zeker weet dat die personen recht hebben op toegang tot de bedoelde gegevens).

Oftewel, versleutelen is zinloos zonder fatsoenlijke authenticatie (en autorisatie). Aangezien er momenteel geen betrouwbaar én werkbaar systeem bestaat voor authenticatie van ontvangers (vertrouwelijkheid) en afzenders (spoofing, phishing) van e-mail, zit de veiligheid van e-mail vermoedelijk in tussen een briefkaart en een open envelop.

Persoonlijk zou ik vooraf aan de klanten vragen of zij toestaan dat hun (potentieel vertrouwelijke) gegevens via e-mail worden verzonden en de risico's daarbij accepteren. Zo niet dan kun je voorstellen om vertrouwelijke gevevens, evt. met een toeslag, per post te verzenden. Maar ook dan geldt dat je je niet moet laten foppen door iemand die zich (na een vechtscheiding) voordoet als haar/zijn ex en haar/zijn adres opgeeft (bijv om financiële gegevens van de ex-partner in handen te krijgen).

Ik ben geen jurist, maar ik ga ervan uit dat de doelstelling van de AVG is dat privacygevoelige gegevens niet in verkeerde handen vallen (overigens is er vaak sprake van andere vertrouwelijke, niet persé privacygevoelige, gegevens -denk bijv. aan offertes waar concurrenten in geïnteresseerd kunnen zijn - maar daar gaat de AVG niet over, voor zover ik weet).

Kortom, versleutelen van e-mail biedt nauwelijks bescherming (met name bij gebruik van webmail door 1 of meer van de partijen) en betekent vooral veel gedoe. Een eventuele eis van de AVG dat e-mails met privacygevoelige informatie versleuteld zouden moeten worden, zou ik bespottelijk vinden.

Afhankelijk van hoe erg het is voor jou en jouw klanten (denk aan aansprakelijheid) als bijv. de netvoeding in die server 230V op de 12V, 5V en andere uitgangslijnen zet, je huis affikt, door een soft- of hardwarefout gegevens (langzaam of op andere ongemerkte wijze) corrupt raken, of een crimineel alle gegevens van die server kopieert (en jou daar bijv. mee gaat chanteren) etc. - zul je redelijke maategelen moeten nemen om de (uiteindelijk financiële) schade te beperken, mocht zoiets zich voordoen. Het is verstandig om op te schrijven (en bewaren natuurlijk) welke risico's je ziet en welke maatregelen je daarom genomen hebt. Een verzekering afsluiten (bijv. om gedupeerde klanten te compenseren) is overigens ook een maatregel.

Dat heeft alleen zin als die externe derde partij uitsluitend certificaten ondertekent na op voldoende zorgvuldige wijze de identiteit van de eigenaar van de public key te hebben vastgesteld, en alle betrokken partijen er voldoende vertrouwen in hebben dat die derde partij zich hier onvoorwaardelijk aan houdt (trusted third party). En, last but not least, dat alle partijen eenvoudig kunnen checken -en dat ook altijd doen- dat het certificaat inderdaad door de onderling vertrouwde certificaatuitgever(s) is ondertekend.

Bijv. Comodo verstrekte (verstrekt?), gratis, een 1 jaar geldig e-mail certificaat aan iedeteen met toegang tot een e-mail account (ook als dat niet jouw e-mail account is. Iemand kan zich wellicht voordoen als Jan Jansen door een Jan1980 o.i.d. gmail account te gebruiken. Maar ook de situatie dat je wel met een echte Jan Jansen te maken hebt - doch een andere - kun je niet altijd uitsluiten).

Dat Jan Jansen een e-mail cerificaat gebruikt (met bijbehorende private key natuurlijk), zegt aanvankelijk HELEMAAL NIETS (integendeel, het suggereert een betrouwbare vorm van bewijs van identiteit die totaal niet wordt waargemaakt). Hooguit kan de ontvanger de volgende keer dat een e-mail wordt ontvangen, checken of het daarbij om hetzelfde certificaat (of dezelfde public key) gaat als de vorige keer. Maar dat kan net zo goed met een self-signed certificaat (dat, gemakshalve, langer geldig kan zijn dan de 1 jaar geldige gratis Comodo certs -waarbij ik niet zeker weet of dat nu nog zo is).

Zie mijn antwoord op vraag 2.

Nogmaals dank voor de reacties.
Destijds ben ik bij de opzet van het geheel uitgegaan van beschikbaarheid (backups, niet afhankelijk van Internet) en vertrouwelijkheid. Juistheid laat ik hier even buiten beschouwing, die zit meer in de personele as.
De truc is het natuurlijk zo te doen dat de vertrouwelijkheid beter wordt (emails verplaatsen van werkstation naar server, en bitlocker), maar dat de beschikbaarheid niet in gevaar komt (versleutelen harddisk met backup, encryptie server).

Al met al hebben we het volgende besloten:
Technische maatregelen:
pst bestanden verplaatsen naar server. Ik moet hier nog wel bekijken wat er gebeurd als een medewerker op 2 werkplekken is ingelogd)
Bitlocker op werkplekken aanzetten.
Disk encryptie aanzetten op server.
Organisatorische maatregelen:
Klanten informeren over het risico van mailen van informatie (gaat dus 2 kanten op, langsbrengen of per post(?) is het alternatief). Echter aangezien veel mensen in het buitenland wonen vraag ik mij af hoeveel mensen dat gaan doen.
Vastleggen van genomen maatregelen inclusief te nemen maatregelen bij een datalek (diefstal)

Niet uit voeren:
De backup disken (er zijn er 3) ga ik niet versleutelen, Ik zal ze wel op een andere plek gaan opslaan.

PST op netwerkschijven worden niet ondersteund. Dit kan een grote impact hebben op je performance, zowel in outlook als op je server. En je kan een PST niet op 2 locaties tegelijkertijd openen.

Vragen die ik mis in je verhaal maar die, dacht ik, ook relevant zijn:

- heb je een privacy notice, wat staat daarin en hoe krijgen je klanten die te zien?

- heb je een beschrijving van je gegevens, waarin staat
van welke groepen mensen je gegevens verzamelt (personeel incluis),
op welke grondslag je die gegevens verzamelt,
welke gegevens dat zijn (NAW, geb. datum etc),
wat je ermee doet (alls behalve "erover nadenken" is een bewerking),
of er een externe bewerker is (en wat je over de AVG in het contract met die partij hebt staan),
hoe je alles afgeschermd hebt,
in geval van toestemming als grondslag ook vastleggen waar precies toestemming voor is gegeven en op welke manier,
aan wie je gegevens levert en welke, en op welke grondslag en op welke manier (moet veilig transport zijn) etc.

Wat mis ik nou nog?

Je mist nog wat.

Als er een bord staat met maximum 100 kilometer per uur, en je houdt je daar netjes aan, dan hoef je bijna nooit aan de kant en krijg je nooit een boete. Hoe je dat dan doet is van minder belang. De bedoeling is namelijk dat je niet harder dan 100 gaat. Dan mag ook je snelheidsmeter kapot zijn. Zolang je je maar aan de wet houdt, op wat voor manier dan ook, kun je nooit een boete krijgen.

Niet als je je snelheid meet mbv een afwijkende snelheidsmeter die veel te weinig aangeeft!

Topicstarter, de Autoriteit Persoonsgegevens zegt hier het volgende over:
En wat er verder volgt onder "Vragen van organisaties over beveiliging" op
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/beveiliging-van-persoonsgegevens.

Ook Arnoud Engelfriet heeft hier eens over geschreven: https://www.iusmentis.com/beveiliging/email/

Dus neem het niet te lichtvaardig!!!, zorg minstens dat STARTTLS goed werkt op je mailserver,
en beter nog wat andere beveiligingen erbij als DANE, DNSSEC, DKIM zodat jij over een versleutelde verbinding mails kunt ontvangen (en veilig versturen wellicht ook?) en als het goed werkt licht dan bijv. je klanten er even over in dat jij daar klaar voor bent.
Of je klanten veilig mailen is in principe jou verantwoordelijkheid niet, iedere verzender is zelf verantwoordelijk, tenzij zij werknemer zijn bij je bedrijf en je klanten bij jou op de loonlijst staan.

Maar jij moet zorgen dat voor zover het aan jou en jou werkzaamheden ligt dat alles klopt
en dat bijv. jouw emailserver veilig is en ook de beveiliging en backups van de opgeslagen mails.

Mocht jij dit zelf niet goed kunnen, dan zul je er een kundig iemand voor moeten inhuren.
Want jouw klanten zijn voor hun deel aansprakelijk waaronder het veilig verzenden van mails,
en jij voor jouw deel waaronder het veilig kunnen ontvangen van mails.

Je kunt je mailserver hier testen op veiligheid:
https://www.internet.nl/test-mail/

Let ook op dat je aangeeft hoe lang je het bewaard en kijk of er financiele gegevens bij zitten. Die moet je namelijk 7 jaar bewaren (wettelijke bewaarplicht) Wanneer de bewaartermijn verstreken is moet je er ook voor zorgen dat het écht verwijderd is.

Wat bedoel je precies?

Deze bekende/of meer een beruchte Nederlander spreekt ook over GDPR en maakt zich druk over straatfotografie wat volgens hem mogelijk ingeperkt of verboden zou kunnen worden:

https://www.martinvrijland.nl/nieuws-analyses/update-fotograferen-op-straat-onder-nieuwe-eu-wet-per-25-mei-2018-algemene-verordening-gegevensbescherming-avg-ook-wel-gdpr-of-dsgvo/comment-page-1/

Dat doet denken aan de recente gebeurtenissen rondom Tommy Robinson.

Maar waarom al deze (overbodige?) wetgeving rondom internet beveiliging?

Het lijkt erop alsof de heersende elite het volk het gevoel wil geven dat het internet onveilig is en daarom constant bezig is met privacy. Eerst Facebook op het hakblok en nu iedere website.

Net zo lang angst en onrust zaaien, totdat men meer "veiligheid" wil.

En hoppa, weer een stukje van onze vrijheid weg..

Tijd dat internet veilig was is al lang voorbij. Internet is bloedlink. Logisch: het is een globaal oorlogsplatform waar ook nog eens miljoenen criminelen op zijn aangesloten. Het is een mijnenveld waar burgers en bedrijfjes gebruik van mogen maken en die anderen dwingen het te gebruiken. Echter niemand trekt zijn scherfwerend vest aan en zet zijn helm op. Iedereen rent maar als een kip zonder kop rond en doet maar wat. Al decennia lang. Anderen zijn daar de dupe van. Daarom is het goed dat er eindelijk wetgeving is die kippen zonder kop dwingt de gevens van een ander te respecteren. Uiteraard zijn er weer bedrijven die de AVG op hun eigen manier vertalen om zinloze producten te verkopen, maar dat is meer ethiek en toekomstvisie wat een deel van de mensheid ontbreekt.

Vraagjes:
- Hoe zit het met e-mailadressen die de eigenaar zelf online heeft gezet (bijvoorbeeld op contact pagina website)?
Mag je die wel "gewoon" in de CC zetten?

Bij Outlook/Thunderbird/etc. staan de e-mails op de PC, en staat er dus wel klantdata op de PC's.
Ik heb geen login/wachtwoord nodig om de e-mails op je PC's te lezen als ik de schijf heb.

Als je als bedrijf mailings naar je klanten stuurt, dan gebruik je BCC ongeacht wat die klanten zelf doen.

Als je de klanten om een goede reden in CC wilt zetten, zul je daarvoor vooraf expliciet (dus afzonderlijk) toestemming moeten vragen.

AVG vereist: noodzaak, informatievoorziening (transparant), toestemming.

In dit geval moet er een goede reden zijn om adressen in CC te zetten, de eigenaren van die adressen moeten zijn geinformeerd hierover, en er moet toestemming zijn gegeven.

Nee, bij Outlook niet per definitie. Alleen wanneer je IMAP of POP3 gebruikt en bij gebruik van Exchange alleen als je cached Outlook profiles gebruikt. Zo niet, dan staat er niks lokaal.