Afbeelding: Keep Out
25.11.2016

Hoe beschermt u persoonsgegevens in uw organisatie?

Tussen “maar ze weten toch alles al van mij” en “wie mag er eigenlijk allemaal met mijn persoonsgegevens werken” zit een groot grijs gebied. Bewustwording zorgt voor de balans tussen beiden. Hoe creëren we dat? SafeHarbour helpt dit te definiëren binnen uw gemeente of organisatie.

Wat zijn eigenlijk persoonsgegevens?

Persoonsgegevens is een brede term. Waar hebben we het dan eigenlijk precies over? We onderscheiden drie typen:

  • Algemene persoonsgegevens zoals naam, adres en geboortedatum;
  • Bijzondere persoonsgegevens zoals godsdienst, ras en lidmaatschappen;
  • Uitermate bijzondere persoonsgegevens zoals strafrechterlijke informatie, BSN, VOG en BIG.

Wanneer mag een organisatie met persoonsgegevens werken?

We horen vaak dat bedrijven in beginsel alles mogen registreren van personen, mits daarvoor toestemming gevraagd wordt. Dit is deels waar, maar verdient wat nuance: om persoonsgegevens te mogen verwerken, dient er een grondslag te zijn. Toestemming is slechts één van die grondslagen. Denk bijvoorbeeld aan de toestemming die u geeft op een privacy- en cookiebeleid op een website. Die gaat echter alleen op voor gewone persoonsgegevens. Toestemming is een laatste oplossing. Je moet ernaar streven om uitsluitend gebruik te maken de wettelijke bepalingen (zoals wettelijke verplichting en overeenkomst). Mocht iemand namelijk geen toestemming geven dan mag je ook niets registreren.

Voor bijzondere persoonsgegevens is uitdrukkelijke toestemming nodig. Dat betekent dat de betrokkene is geïnformeerd en niet voor verrassingen komt te staan). Uitermate bijzondere persoonsgegevens mogen zelfs niet eens met toestemming of met uitdrukkelijke toestemming van de betrokkene verwerkt worden.

Daarnaast is dataminimalisatie en doelbinding in de wet vastgelegd. Dit betekent bijvoorbeeld dat, wanneer een organisatie toestemming heeft om bepaalde gegevens te gebruiken voor een e-mailnieuwsbrief, er niet om het telefoonnummer gevraagd worden. Simpelweg omdat dit niet nodig is voor het versturen van een e-mailnieuwsbrief.

Gaat privacy wel samen met de technologische ontwikkeling?

We hebben veel vertrouwen in technologie. Buiten werk vindt er vaak ook nog zakelijke communicatie plaats over werk via Gmail of Whatsapp, we zetten onze persoonlijke documenten in OneDrive en DropBox en kiezen Skype voor onze zakelijke besprekingen. We gebruiken een gratis virusscanner en vragen Google om antwoorden te zoeken op onze vragen. Dat Google hiermee steeds meer kan doen bewijst een recentelijk artikel van ProPublica.

De voordelen van deze diensten zijn duidelijk: ze zijn gratis, ze zijn handig in het gebruik en zorgen ervoor dat u efficiënt kunt werken. De nadelen zijn echter net zo van belang. Gratis zaken weggeven bestaat niet voor bedrijven van deze diensten die winst willen maken. Ze gebruiken deze voor hun eigen marketing of verkopen deze aan derden. Daarnaast: internet vergeet niets. Het is praktisch onmogelijk om iets van internet te verwijderen. Data die u nu genereert, kan jarenlang door organisaties gebruikt worden om hun profiel van u te verbeteren.

Sleutelwoord: bewustwording

Zowel zakelijk als privé en een combinatie daarvan – dat loopt tegenwoordig nogal eens door elkaar – is het sleutelwoord bewustwording. Bovenstaande ontwikkelingen zullen niet zomaar verdwijnen maar het is belangrijk dat dit bij steeds meer personen en organisaties in the picture komt.

Wij raden u ten sterkste aan om uw veiligheid bij een betrouwbare organisatie te regelen. Zo leidde de meldplicht datalekken al tot een wildgroei aan privacy-adviseurs die onvoldoende kennis hebben om bedrijven te begeleiden bij de nieuwe wet- en regelgeving. Bedrijven en overheden hebben tot 25 mei 2018 om hun bedrijfsvoering in consensus te brengen met de Algemene Verordening Gegevensbescherming (AVG). Dat betekent dat bedrijven die met veel persoonsgegevens werken zich steeds beter moeten beveiligen.

Waarom wachten? Optimaliseer uw beveiliging op korte termijn!

Maak bijvoorbeeld gebruik van onze kennis en expertise: Wij voeren vulnerability testen uit, doen IT security monitoring op al uw systemen en we hebben een Awareness e-learning training (voor bewustwording bij uw medewerkers) beschikbaar. Neem contact met ons op via e-mail of door te bellen naar 085 208 208 9. Dan kijken we samen hoe u uw informatiebeveiliging het beste regelt.

Categorie: IT security Kennis