Data is het nieuwe geld, maar hoe zit het met privacy en onderhoud en beheer persoonsgegevens?

Data is het nieuwe geld, maar daar wordt nog lang niet op die manier mee omgegaan. Over welke data beschik je binnen je organisatie en hoe worden gegevens bewaard en onderhouden? Is bekend waar de data zich bevindt, ook extern? Feit is in elk geval dat de wet- en regelgeving in snel tempo wordt aangescherpt. Ook Risk & Insurance Managers krijgen hiermee te maken vanwege de risico’s die met het niet goed beheren en onderhouden van data samenhangen.

 

Databescherming en datalekken

De onderwerpen databescherming, privacybescherming en de gevolgen van datalekken stonden centraal tijdens de najaarsbijeenkomst voor NARIM-leden op 9 november jl. in Kamerik. Mark Buningh, Cyber Risk Practice Leader Nederland van Aon, hield een inleiding over het onderwerp en ging met de aanwezige NARIM-leden in gesprek.

 

Mark Buningh - Aon

 
Nieuwe wetgeving: General Data Protection Regulation (GDPR)

Op 25 mei 2018 wordt de General Data Protection Regulation (GDPR) van kracht. In Nederland is deze Europese regelgeving ondergebracht in de Algemene Verordening Gegevensbescherming (AVG). De invoering hiervan heeft verstrekkende gevolgen voor de manier waarop bedrijven en organisaties persoonlijke gegevens van medewerkers, klanten en andere personen beheren en onderhouden.

 

Hoe goed heeft u uw zaakjes op orde?

(Big) Data wordt als het nieuwe geld gezien, maar nog lang niet iedereen heeft zijn zaken goed op orde. Dat kan betekenen dat er in de nabije toekomst flinke boetes kunnen worden uitgedeeld als organisaties falen in het naleven van GDPR/AVG. Als bedrijf riskeer je boetes die kunnen oplopen tot 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet. Daarnaast is het risico op aanzienlijke reputatieschade groot.

 

Voldoen aan GDPR is veel meer dan alleen compliance

Voldoen aan GDPR draait niet alleen om compliance, maar vooral om het vergroten van de bescherming van persoonsgegevens. ‘De focus is momenteel vooral gericht op de mogelijke boetes, terwijl de aandacht veel meer gericht zou moeten zijn op de belangrijkste risico’s,’ vindt Mark Buningh. ‘We laten ons vooral leiden door de risico’s van de nabije toekomst en hebben minder oog voor de risico’s op langere termijn.

 

De GDPR gaat over persoonsgegevens. Voor de hand liggende gegevens zijn naam, adres, woonplaats, BSN-nummer, telefoonnummer en mailadres. Minder voor de hand liggende gegevens zijn kentekengegevens en IP-adressen, maar het kunnen ook privacygevoelige gegevens zoals ras, godsdienst, seksuele geaardheid, politieke opvattingen, gezondheid en strafrechtelijk gedrag zijn.

 

Het verplicht melden van datalekken

Sinds 2015 moeten datalekken binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegevens en in sommige gevallen ook aan de betrokkenen wiens gegevens zijn gelekt. ‘In zo’n geval moet je wel kunnen uitleggen wat er is gebeurd en waarom het fout is gegaan. Je moet als organisatie je huiswerk hebben gedaan: weten over welke gegevens je beschikt, waar die zijn opgeslagen (ook extern) en wie toegang heeft tot welke informatie.

Het spreekt eigenlijk voor zich dat er voldoende geïnvesteerd moet zijn in de beveiliging van netwerken. Kun je die uitleg niet geven op het moment dat gegevens op straat zijn komen te liggen, dan heb je een probleem en riskeer je een flinke boete.’

 

Volgens Mark Buningh is nog lang niet elke organisatie er zich voldoende van bewust dat het hoog tijd is maatregelen te nemen. Volgens hem zijn er nog veel onbeveiligde portals, wordt e-mail verkeer lang niet altijd goed beveiligd en zijn de gegevens van medewerkers lang niet in alle HR-systemen afdoende afgeschermd.

 

Aantoonbaar in control zijn

Daarnaast spelen ook juridische factoren een belangrijke rol: is er expliciet toestemming gevraagd om bepaalde gegevens te bewaren en te gebruiken (opt-in)? Wordt op websites duidelijk aangegeven dat je toestemming vraagt bepaalde gegevens op te slaan en waarvoor? Worden "terms & conditions" duidelijk vermeld? Zijn er mogelijkheden persoonlijke gegevens aan te passen of te verwijderen?

 

Scan ook overeenkomsten met derden en SLA’s op dit soort aspecten, raadt Buningh aan. Ook de instroom van gegevens van derden moet GDPR-proof zijn. ‘Steeds vaker wordt gebruik gemaakt van de diensten van derden. Denk alleen al aan salarisverwerkingen en opslag van gegevens in de cloud. Als organisatie blijf je verantwoordelijk voor je data, ook bij uitbesteding van processen of taken. Je moet als organisatie aantoonbaar in control zijn over gegevens van derden en de verwerking daarvan.’

 

‘Als organisatie blijf je verantwoordelijk voor je data, ook bij uitbesteding van processen of taken.’

 

Grote belangen

Veel organisaties weten niet eens welke data bij wie beschikbaar zijn en waar de gegevens worden bewaard, meent Buningh. Met name in sectoren als het onderwijs en de zorg zijn organisaties nog niet veel met deze materie bezig, terwijl het ook daar om grote belangen gaat.

De belangen zijn niet alleen groot, maar kunnen intern ook afwijken: ‘Een afdeling die zich met profilering en klantenservice bezighoudt, kijkt heel anders tegen het gebruik van gegevens aan dan een HR-afdeling of Legal. Vanuit deze laatste hoek zijn geluiden te horen dat als je bepaalde gegevens niet bewaart, je deze ook niet kwijt kunt raken.’

 

Commitment op het hoogste niveau

Zonder steun van de directie is het lastig om privacy en databescherming binnen de organisatie door te voeren. Verankering op het hoogste niveau is van groot belang. Daarnaast wil geen enkele afdeling 'GDPR' volledig op zijn bordje krijgen en dat betekent dat voldoen aan de GDPR-wetgeving alleen maar kans van slagen heeft als er een nauwe samenwerking is tussen afdelingen als risicomanagement, 'Legal', IT, HR en marketing. ‘De afwijkende belangen mogen niet worden onderschat. Het zou mij niet verbazen als organisaties op termijn een Data Privacy Officer gaan aanstellen.’

 

Buikspieroefeningen

Eigenlijk moet je er elke dag mee bezig zijn, stelt Buningh: weten waar je data staat, welke derde partijen nodig zijn bij onderhoud en beheer en wie er allemaal op je netwerk zitten. ‘Ik vergelijk het wel eens met het trainen van buikspieren: de effecten van elke dag vijf minuten trainen zie je niet direct, maar wel op termijn. Geef ook dit onderwerp de aandacht die het nodig heeft, elke dag.’

 

Interessante links:

Aon heeft op zijn website meer informatie over GDPR:

 


« vorige pagina         meer nieuws »