Privacy en dataveiligheid: van levensbelang voor uw organisatie
Bent u al voorbereid op 2018?
Het is een hot item, en niet zonder reden, want we worden met enige regelmaat geconfronteerd met nieuwsberichten over o.a. hacking, phising en malware, waardoor privacygevoelige persoonsgegevens, zoals werknemers-, cliënten- of patiëntengegevens, op straat komen te liggen. Je moet er niet aan denken dat het jou overkomt!
In 2018 treedt de Algemene Verordening Gegevensbescherming in werking.
Dat is de Europese opvolger van de Wet op Datalekken en de Wet Bescherming persoonsgegevens. Hierin is geregeld waar iedere organisatie, die werkt met (gedigitaliseerde) persoonsgegevens, aan moet voldoen.
Dus ook al als u werknemers in dienst heeft waarvoor u personeelsdossiers hebt aangelegd en waarvoor uw financieel administratiekantoor de salarisverwerking doet.
Wees voorbereid en neem nu reeds uw maatregelen.
Weet u al waaraan u moet voldoen, hoe u dat in gang zet of moet regelen?
Natuurlijk houdt u zich liever bezig met uw eigen bedrijfsvoering, de zaken, zorg of dienstverlening waarvoor u bestaat. En toch is het noodzakelijk om u hierover wel te buigen en niet eenmalig maar structureel.
Immers, u bent verantwoordelijk voor de gegevens die uw medewerkers of uw klanten bij u in beheer hebben gegeven en u moet dus kunnen aantonen dat u er alles aan heeft gedaan om zo zorgvuldig mogelijk met die gegevens om te gaan. Dat houdt onder meer in: met uw ICT leveranciers bewerkersovereenkomsten afsluiten, als zij die gegevens beheren, hosten of bewerken, maar ook met uw extern administratie- of salarisverwerkingskantoor. En vergeet niet de veiligheid van uw website als mensen daar hun gegevens op achter laten.
Binnen uw organisatie heeft u de verantwoording voor geheimhoudingsverklaringen met uw werknemers, adequate privacy-reglementen en instructies over omgaan met privacygevoelige informatie.
Structureel en integraal onderdeel van de bedrijfsvoering
Het is niet een eenmalige exercitie, het is een integraal onderdeel van uw organisatie, een continu lerend proces, waaraan iedereen deelneemt. Beleid maken en vaststellen ten aanzien van organisatie, techniek en processen, integraal risicomanagement, verandermanagement en vooral bewustzijn en het maakt daarmee onderdeel uit van uw Plan Do Check Act-cirkel.
Wat gaat het o.a. om:
- inventarisatie van digitale opslag, verwerking en uitwisseling van persoonsgegevens en welke leveranciers voeren welke werkzaamheden voor u uit
- het afsluiten van bewerkersovereenkomsten met leveranciers
- het opstellen of actualiseren van privacyreglementen, -protocollen en werkinstructies
- training en instructie van medewerkers
Concreet: checklists, wachtwoordenbeleid, hoe omgaan met gegevens, werkplekkenbeheer, toegang tot gegevens en beveiliging.
Wat kan ik voor u doen:
- onderzoek naar de dataveiligheid binnen uw eigen organisaties en bij uw leveranciers
- sluiten van bewerkersovereenkomsten met leveranciers
- inventarisatie naar opslag van gegevens en het gebruik van gegevens op communicatiemiddelen en hardware door medewerkers voor wat betreft de bescherming van privacy van persoonsgegevens.
- aanbevelingen over gebruiksregels en gedrag over het omgaan met privacygevoelige informatie door medewerkers en het opstellen van privacyreglement, protocollen en werkinstructies
- instructie en training van medewerkers
- uw functionaris gegevensbeheer of privacy-officer zijn
Opgeleid volgens de recente Europese richtlijnen voor CIPP/E en CIPM, CIPT, volgens de Internationale IAPP certificering.
“ Margareth onderzocht in 2016 de databeveiliging van MOvactor, c.s. Hoewel wij geen grote twijfels hadden bij de beveiliging van onze data, is het toch fijn om er even goed naar te laten kijken door een expert. En dan blijkt dat er hier en daar toch wel wat risico’s op datalekken bestaan die met kleine aanpassingen al snel geminimaliseerd kunnen worden. Margareth heeft dat zeer indringend onderzocht en zeer accuraat blootgelegd. Het adviesrapport is helder en de aanbevolen acties makkelijk uitvoerbaar.
Inmiddels heb ik Margareth gevraagd om volgend jaar opnieuw een risico-analyse uit te voeren !”
Dennis Duiker, voorzitter Raad van Bestuur MOvactor