• Home
  • |
  • Blog
  • |
  • Informatiebeveiliging en privacy toegelicht in 10 artikelen en TV opnames

maart 1, 2021

Informatiebeveiliging en privacy toegelicht in 10 artikelen en TV opnames

Privacy Based levert specialisten op het gebied van privacy en informatiebeveiliging. Met onze expertise helpen wij bedrijven om op een pragmatische manier te voldoen aan alle eisen rondom privacy en informatiebeveiliging, zowel bij de interne processen als bij de contacten met leveranciers en klanten. In een serie van 10 artikelen en TV items gaan we vanaf februari 2021 bedrijven informeren over deze belangrijke thema’s.

Aflevering 1

De aanleiding

Gezien vanuit het perspectief van een specialist privacy / informatiebeveiliging, leven we  in turbulente tijden. Her en der worden grote bedrijven en instituten aangevallen door hackers die met ransomware de geïnfecteerde bedrijven afpersen. Zo langzaam aan laat ook de Autoriteit Persoonsgegevens haar tanden zien en worden bedrijven op de vingers getikt omdat ze hun privacy-processen niet op orde hebben.

De Algemene Verordening Gegevensbescherming eist dat bedrijven passende technische en organisatorische maatregelen moeten nemen om persoonsgegevens veilig te verwerken, maar wij zien dat er eveneens een noodzaak is om dit toe te passen op andere data dan persoonsgegevens.

Grote bedrijven hebben afdelingen voor hun ITIL processen (zoals change management, patchmanagement, delivery management en incident management), hebben een grote staf voor IT security en hun Chief Information Security Officer (CISO) en Data Protection Officer (DPO) kunnen tijd reserveren om beleid en aantoonbaarheid van de vertaling van hun beleid in de bedrijfsprocessen te toetsen. Maar zelfs daar wringt het vaak hoe je dit nu pragmatisch doet met oog voor de primaire bedrijfsproces terwijl jetoch voldoet aan de wetgeving  en aansluitend bij de medewerkers en hun werkprocessen.

In Nederland zijn er pakweg 5.000 bedrijven met een omvang tussen 250 en 500 werknemers en er zijn er nog veel meer met een omvang tussen 50 en 250 werknemers. Deze bedrijven hebben meestal geen,CISO geen juridische afdeling en geen vasteDPO. Deze bedrijven worstelen met hun verplichting te voldoen aan regelgeving; hoe kun je blijven voldoen aan de eisen m.b.t. de veilige verwerking van data en wat zijn passende technische en organisatorische maatregelen.

Daarvoor zijn de aankomende 10 aflevering bedoeld, elke aflevering met een eigen thema en een schot voor de boeg over de aanpak. In begeleidende artikelen gaan we dan iets dieper in op de materie maar voor echte informatie is het beter om contact op te nemen met Privacy Based.

De uitzendingen

Uitzending 1 : weet wat je verwerkt, maak een register van verwerkingsactiviteiten

  • Link naar de uitzending

De aanpak van Privacy Based is slim in zijn eenvoud en start altijd met een inventarisatie van de data die het bedrijf heeft, in welke systemen de informatie is bewerkt of verwerkt, op welke wettelijke grondslagen het bedrijf of de afdeling de data verwerkt, waar die data zijn opgeslagen, hoe lang die worden bewaard en wie toegang heeft tot de data.

Kortom, de basis voor een gedegen register van verwerkingsactiviteiten valt en staat bij inzicht. Wij constateren dat in veel gevallen bedrijven dat inzicht nog niet hebben en dat zij begeleiding bij die inventarisatie goed kunnen gebruiken. Privacy Based legt haar bevindingen vast in een Privacy Based Control Center.

De eerste stappen van de inventarisatie zijn in deze figuur weergegeven.

Personen

Wie in de organisatie spelen een rol in de processen rondom data?

Het gaat daarbij om diverse functies. Niet alleen legal IT en directie maar juist de medewerkers die in de bedrijfsprocessen bezig zijn met de verwerking van gegevens. Denk bijvoorbeeld ook aan de HR-afdeling die personeelsdossiers bijhoudt.

Externe organisaties

In de basis zijn deze te scheiden in leveranciers en klanten.

In beide gevallen zijn contracten de basis voor samenwerking. Het zijn ook leveranciers die systemen leveren waarmee gegevens worden verwerkt en daarom is het nodig te beoordelen in welke rol wordt samengewerkt (verwerker of anders). Ook is het nodig om leveranciers regelmatig te beoordelen op hun omgang met data.

Bij klanten is het van belang te weten welke gegevens voor de klant worden verwerkt. Daar worden afspraken aan gekoppeld als bewaartermijn, wettelijke grondslag van verwerken en locatie waar de data worden bewaard. Natuurlijk worden ook hier verwerkersovereenkomsten afgesloten.

Dan zijn er nog data over concurrenten, branchegegevens, samenwerkingsverbanden, marktontwikkelingen etc. waarvoor ook een analyse moet worden gemaakt.

Bedrijfsmiddelen

Zowel software als hardware die wordt gebruikt bij verwerkingen spelen een rol om risico’s te kunnen inschatten. Hoe worden systemen gebruikt, is er beleid rondom gebruik, hoe wordt omgegaan met de beveiliging van de werkplek, etc.

Groepsverwerkingen

Pas na inrichten van de vorige basisinformatie is nu vast te leggen welke data in welk systeem en met behulp van welk middel en voor welke externe organisatie worden vastgelegd. Met daaraan gekoppeld welke overeenkomst, waar bewaard, met wie gedeeld, hoe lang bewaard van toepassing is om een gedegen register van verwerkingen in te richten.

Puur wettelijk gezien heb je na de inventarisatie en vastlegging in het control center voldaan aan artikel 30 van de AVG, je register van verwekingsactiviteiten is klaar.

Meer doen met je data: marketing

Inzicht in data heeft een enorm positief effect op je marketing. Als je eenmaal ziet wat je data zijn en op basis van welke grondslagen je de data kunt en mag verwerken, dan opent zicht een heel arsenaal aan nieuwe contactmomenten in de ‘customer journey’.

In volgende uitzendingen gaan we in op andere onderwerpen die laten zien hoe informatiebeveiliging en privacy kan worden ingericht en uitgewerkt.

Programma

Elke zondag “Op de zaak” bij RTL7, direct na businessclass.

Meest recente uitzending 28 februari 2021, eerstvolgende uitzending op 7 maart 2021.


Related Posts

Informatiebeveiliging start bij het management

HLeemans


Al vanaf 1999 bezig met privacy en de grens tussen de belangen van bedrijven, consumenten en overheid.

Your Signature

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}