Privacywetgeving: waar staan we?

30/07/2015, Eric Bruseker, Solution Advisor Security

In mijn voorgaande blog ben ik ingegaan op de nieuwe wetgeving die op ons afkomt en wat dit betekent voor organisaties. Nu de nationale wet bekrachtigd is door de Koning op 1 juli, is de druk voor organisaties nog groter geworden om maatregelen te treffen. Er moet voor 1 januari een fundament staan die opgewassen is tegen deze nieuwe wetgeving.

Een vraag die wij veel ontvangen is: “waar moet ik beginnen?” Veel (security) fabrikanten doen voorkomen dat met een technologische oplossing u al voldoet aan de nieuwe wetgeving.

Ook wordt er nog wel eens geroepen dat wanneer je “je best hebt gedaan” u de dans wel ontspringt en daarmee hoge boetes voorkomt. Hierbij een waarschuwing; beiden uitspraken zijn onjuist!

Een van de andere uitdagingen waar men tegenaan loopt en waar ik in mijn eerdere blog al voor waarschuwde, is het feit dat deze materie gedelegeerd wordt naar de IT-afdeling. Echter is in de nieuwe wetgeving vastgelegd dat de bestuurder verantwoordelijk en aansprakelijk is voor de opvolging hiervan.

Wat moet er gebeuren? Welke stappen moeten er genomen worden?

Wij zien samengevat drie fases:

  • Inventarisatiefase
     
  • Implementatiefase
     
  • Evaluatiefase

Fase 1: Inventarisatiefase

  • Voer een nulmeting uit, waar staat u nu? Niet alleen technologisch, maar juist ook op organisatorisch vlak. Hoe wordt er nu omgegaan met het verwerken van persoonsgegevens? Denk hierbij bijvoorbeeld aan kentekens, IP-adressen en sofinummers. En gebeurt dit verwerken van de persoonsgegevens op een correcte wijze?
  • Wie kan er bij de persoonsgegevens? Wie zijn de ketenbewerkers? Dus niet alleen de personen intern, maar ook de externe relaties welke de gegevens kunnen benaderen en eventueel bewerken? Degenen die deze initiële data hebben zijn hiervoor verantwoordelijk, ook als een ketenbewerker deze lekt. Dus hoe zijn de contractuele afspraken met hen ingeregeld en hoe waterdicht zijn deze?
  • Hoe is de user awareness aangaande het lekken van data binnen uw organisatie? Zijn uw medewerkers zich bewust van de gevoeligheid van persoonsgegevens binnen de organisatie? En wat hun rol is om deze veilig te houden? Weten medewerkers wat er onder een lek verstaan wordt en hoe zij hierop moeten anticiperen?
  • Welke technologische maatregelen zijn er genomen om het lekken van data te voorkomen?
  • Wat zijn de laatste bevindingen geweest uit de Privacy Impact Analyse?

Fase 2: Implementatiefase

Wat zijn de belangrijkste punten uit de eerste fase? Prioriteer deze en ga vervolgens, indien nodig, het proces in om deze punten te verbeteren.

Naast de twee fases zijn er in het geheel twee momenten, het moment voor (proactief) een datalek en het moment daarna (reactief).

In het proactieve proces kijken we welke stappen u kunt ondernemen om een datalek te voorkomen? Veelal zijn dit de technologische middelen waar u als organisatie ook verplicht toe bent om in te re-gelen.

Daarnaast is er ook een reactief proces: het moment na een datalek. U moet een datalek onverwijld aan het CBP melden. Let op, dit is een openbaar register. U moet vervolgens aantonen waar het lek vandaan is gekomen en dat de maatregelen welke u heeft genomen in een eerder stadium gewerkt hebben. Ook al is dit een reactief proces, u moet organisatorisch wel vooraf alles inrichten om dit zo efficiënt mogelijk en zonder “kleerscheuren” door te komen.

Fase 3: Evaluatiefase

Hebben de genomen maatregelen het securityniveau verhoogd? Zijn er medewerkers binnen de organisatie doordrongen van hun rol en weten zij hoe zij kunnen bijdragen om een datalek te voorkomen?

Mocht er een datalek zijn geweest, dan zult u zich moeten afvragen; hoe heeft dit kunnen gebeuren? Hoe kan het in de toekomst voorkomen worden? Waar bent u tegenaan gelopen?

De rol van COMPAREX

Er zijn weinig organisaties die u als klant kunnen ondersteunen op zowel juridisch, technologisch en accountants vlak. Om u als klant toch in alle drie de fases volledig te ondersteunen, is een intensieve samenwerking aangegaan met Duthler Associates. De absolute kennispartij als het gaat om gegevensbescherming en privacy wetgeving.

Door onze krachten te bundelen zijn wij in staat om u als klant op organisatorisch en juridisch vlak volledig bij te staan en indien nodig te adviseren over de benodigde preventieve technologische oplossingen.

Wat kan COMPAREX voor uw organisatie betekenen?

  • Uitvoeren van een Privacy Impact Analyse (PIA).
  • Penetratietesten, waar is de organisatie nog kwetsbaar?
  • Wij kunnen projectleiders aanleveren, ofwel een zogenaamde Functionaris voor de Gegevensbescherming (FG) zodat uw organisatie de stappen kan nemen om klaar te zijn voor de toekomst.
  • Een opleiding aanbieden zodat u of een van uw medewerkers zelf Functionaris voor de Gegevensbescherming wordt. Afhankelijk van uw organisatie zal er een FG aangenomen of ingehuurd worden.
  • Verkorte opleiding in een zogenaamde Summerschool om in een zeer korte tijd (3 dagen) veel meer kennis op te doen aangaande de wetgeving en de bijbehorende stappen.
  • Securityscan, waar staat uw organisatie op technologisch vlak? En wat zijn de extra maatregelen die nog genomen moeten worden?
  • Controleren van de bewerkersovereenkomsten waarmee je als organisatie betrekkingen mee hebt en welke gebruik maken van de data die u beschikbaar stelt. Om zo de risico’s te beperken.
  • SBC Managementsysteem; een taxonomie gedreven Standaard Business Compliance (SBC) Managementsysteem. Het SBC Managementsysteem biedt overzicht en inzicht in het verantwoordelijkheids- en aansprakelijkheidsgebied van de organisatie. Dit is niet alleen noodzakelijk om te voldoen aan de wettelijke eisen, maar ook om de risico’s voor uw organisatie beheersbaar te maken.
  • Functioneel advies over uw security uitdagingen.

Wij denken graag met u mee

Om u te informeren over deze nieuwe wetgeving “Meldplicht datalekken", nodigen wij u uit voor een sessie op dinsdagochtend 3 november 2015, met als onderwerp: "Welke impact heeft deze nieuwe wetgeving op uw organisatie?" Heeft u interesse?

Meer weten over dit onderwerp?

Wilt u meer weten over de nieuwe wetgeving? Neem dan contact met mij op.

Neem contact op

Eric Bruseker

Eric Bruseker

Solution Specialist

Deel deze pagina