Poll

Mijn organisatie is op tijd klaar voor de invoering van de GDPR / AVG


, Auteur:

De nieuwe privacy wetgeving als het zwaard van Damocles

damocles-westallpc20080120-8842a

In de media en op LinkedIn wordt je doodgegooid met artikelen over de aanstormende nieuwe Europese privacy wetgeving in mei 2018 èn wat er gebeurt als je er nièt aan voldoet. Torenhoge boetes hangen als een zwaard van Damocles boven ieders hoofd. Voldoe je niet dan wordt je bedrijf ten gronde gericht door de grote boze Autoriteit Persoonsgegevens die als de boeman van de nieuwe privacy wetgeving op niet oplettende en vooral gewetenloze verwerkers van persoonsgegevens jaagt.

Voor wie de artikelen gemist heeft. In Nederland wordt de Europese privacy wet (GDPR) in mei 2018 van kracht onder de naam AVG wat staat voor de Algemene Verordening Gegevens­bescherming. Het belangrijkste hieruit is dat je alleen persoonsgebonden gegevens mag opslaan zolang je hiervoor een geldige grondslag (reden) hebt.

OK, even een pas op de plaats. Natuurlijk wordt de wetgeving actief en moet je er echt aan voldoen. Maar de primaire business van de Autoriteit Persoonsgegevens is het borgen van de privacy en niet het uitdelen van torenhoge boetes of slopen van bedrijven. Als organisatie zou ik me persoonlijk meer zorgen maken over het reputatie-effect van overtreding van de wet of eventuele datalekken. Dit even om het onderwerp privacy in perspectief te plaatsen.

PANIEK

Dus ja, de nieuwe wetgeving vergt van bedrijven een andere houding ten aanzien van het omgaan met persoonsgebonden data. Je kunt niet meer zomaar onbezonnen allerlei persoonlijke gegevens verza­melen en analyseren. Het doel moet legitiem zijn en dat is een goede zaak. Maar moeten organisaties in paniek raken. Nee, ze moeten het uitzoeken, regelen en organiseren, dat is wat anders.

De oplettende lezer merkt dat het beeld over privacy zich heeft genuanceerd van het einde der tijden naar beheersing van een informatiemanagement vraagstuk.

privacyAls ik vanuit mijn rol als consultant met klanten praat over dit onderwerp ga ik een drietal dimensies langs van het onderwerp privacy. Te weten:

  1. De organisatie kant
  2. De menskant
  3. De techniekkant

Binnen deze dimensies kijken we samen waar risico’s worden gelopen in het omgaan met en het beheren van persoonsgebonden data.

ORGANISATIE

Vanuit de organisatie wordt gekeken naar hoe er binnen de organisatie met persoonsgebonden data wordt omgegaan. Is er een informatie beleid, is er een beveiligingsbeleid en welke rol hebben persoonsgebonden data hierin? Zijn beleid en processen op dit gebied geborgd in organisatorische maatregelen? Wat gebeurt er als er fouten worden gemaakt, past de organisatie zich daar op aan?

MENS

Vanuit de menskant kijken we naar gedrag. Immers de meeste datalekken komen door ... menselijke fouten. Veel medewerkers denken dat ze veilig omgaan met data maar nemen bewust of onbewust toch risico’s door niet-kwaad bedoelde acties. Door bijvoorbeeld een dossiertje in Dropbox te zetten zodat er thuis nog aan gewerkt kan worden. Medewerkers kunnen bewust gemaakt worden van gedrag dat risicovol is met trainingen of bijvoorbeeld mystery shoppers. Omdat privacy en gegevensbescherming een continu veranderend domein is het belangrijk hier op te blijven trainen, niet alleen voor eindgebruikers maar ook voor privacy officers, DPO's en adviseurs zoals ik.

TECHNIEK

Vanuit de techniek wordt gekeken naar de risico’s op technisch vlak. Hoe zijn werkplekken en het netwerk en toepassingen beschermd. Volgens welke beleid worden systemen en software geïnstalleerd, geupdate en gepatched. Hoe is de toegang geregeld tot data. Zijn er maatregelen genomen om data te beschermen tegen ongewenst verlies. De back-up is hierin het bekendst of de firewall die ongewenste gebruikers als een slotgracht buiten het bedrijf houdt. En hoe zit het dan met het groeiend gebruik van toepassingen die “ergens” in de Cloud draaien? Of hoe zorg je ervoor dat bijvoorbeeld patiëntgegevens of BSN nummers niet de organisatie verlaten (denk aan e-mail). Dit kun je monitoren en tegenhouden als je dat wilt met slimme software.

WAAR BEGIN JE?

Zo zie je dat de nieuwe privacywet een behoorlijke impact op de organisatie heeft. Hierdoor zien organisaties soms door de bomen het bos niet meer. “Waar begin je?”, is dan de vraag. Bij het begin! Door eerst maar eens de grootste persoonsgebonden datastromen in kaart te brengen en de huidige (compliancy) risico’s over de drie dimensies in beeld te brengen. Daarmee prioriteer je vervolgens je activiteiten: begin daar waar het meeste risico wordt gelopen en de impact voor de betrokken personen/klanten/patiënten en het bedrijf het grootst zijn.

Privacy wordt in onze maatschappij steeds belangrijker. Voor organisaties is het belangrijk om met deze ontwikkeling om te gaan en waar nodig de eigen werkwijze bij te sturen. Als je eind april 2018 nog niks hebt ondernomen zou ik zenuwachtig worden. Als je nu begint kun je alvast de grootste risico’s wegnemen voordat de wet actief wordt en wellicht zelfs een concurrentievoordeel ontwikkelen als je buurman dit artikel nog niet heeft gelezen.

linkedin-post-privacy-quiz3-2