Informatiebeveiliging en privacy

 

Informatiebeveiliging is een belangrijk gespreksonderwerp in veel organisaties. Terecht, aangezien de Algemene Verordening Gegevensbescherming op 25 mei 2018 is ingegaan. Deze nieuwe wet stelt strengere eisen aan hoe u als organisatie met uw informatie om gaat dan de huidige wetgeving. Daarnaast wordt er steeds vaker in de media-aandacht besteed aan hacks (het inbreken in computers). Een hack kan leiden tot het lekken van informatie of gegevens en het openbaar maken van geheime of vertrouwelijke informatie. Dit heeft gevolgen voor een organisatie: er zijn financiële consequenties en er is reputatieschade. Dit zijn zaken die een organisatie zoveel mogelijk wil vermijden.

pricacy

Een van de opvallendste veranderingen is dat personen op grond van de AVG meer zeggenschap hebben over hun persoonsgegevens. Daarnaast moeten organisaties die persoonsgegevens verzamelen, verwerken of analyseren aan veel nieuwe verplichtingen voldoen. De AP heeft de bevoegdheid om organisaties te beboeten wanneer zij niet aan de AVG voldoen. Dit kan oplopen tot 20 miljoen euro of 4% van de jaaromzet. De AVG levert ook voordelen op voor organisaties: de naleving op de AVG biedt inzicht in uw processen en binnen de EU wordt er vanaf 25 mei op dezelfde manier met persoonsgegevens gewerkt

• online identificatoren (bijv. IP-adressen)
• identificatienummers.
• werknemersinformatie.
• Verkoopdatabanken.
• gegevens van de klantenservice & gegevens over klantenbindingsacties.
• feedbackformulieren van klanten.
• locatiegegevens.
• biometrische data
• opnamen van bewakingscamera’s.
• gezondheids- en financiële informatie.
• informatie die door een accountnummer of een unieke code aan een persoon kan worden gekoppeld.
• elementen van de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit.

Hoe staat uw organisatie ervoor?

Weet u hoe uw organisatie er voor staat op het gebied van informatiebeveiliging en de AVG? BECIS kan u op verschillende manieren helpen om inzicht te krijgen in uw situatie en u helpen de situatie op orde te brengen. Zo kunt u de inwerkingtreding van de AVG met gerust hart tegemoetzien en wordt informatiebeveiliging een integraal onderdeel van uw bedrijfsvoering.

 

Quickscan AVG

BECIS heeft een quickscan ontwikkeld om u als organisatie inzicht te bieden in wat u nog moet regelen om te voldoen aan de AVG. Wat is er al geregeld en wat nog niet? En wat moet er gebeuren om de privacy functie in de informatievoorziening in te vullen? Aan de hand van de resultaten uit de nulmeting schrijft BECIS een beknopt plan van aanpak dat inzicht biedt in de stappen die u als organisatie minimaal moet zetten om AVG-compliant te zijn.

 

Coaching en advies

BECIS kan u helpen met het verbeteren van uw informatieveiligheid door het leveren van coaches en adviseurs, voor bijvoorbeeld de volgende onderwerpen:

  • Opstellen gedetailleerd plan van aanpak of stappenplan, waarmee u aan de slag kan bij het inrichten van de privacy functie in de (documentaire) informatievoorziening
  • Uitvoeren van het plan van aanpak door één of meerdere van onze adviseurs
  • Leveren van een projectleider voor de implementatie van het plan van aanpak
  • Leveren van een kwartiermaker, die de quickscan tot en met de implementatie op zich neemt en u alle zorg uit handen neemt. Uiteraard zorgt de kwartiermaker ook voor een goede overdracht aan de organisatie en kan hij/zij helpen bij het vinden van een goede Functionaris Gegevensbescherming
  • Coaching van de Functionaris Gegevensbescherming op de werkplek, zodat hij/zij zo snel mogelijk met de nieuwe taken en werkzaamheden aan de slag kan en de juiste kennis en vaardigheden heeft om de rol te vervullen

In alle gevallen werkt BECIS nauw samen met de organisatie, zodat elke geboden oplossing optimaal herkenbaar is voor de organisatie en er na oplevering een vloeiende overgang is naar de organisatie.

 

Informatie op orde

De AVG stelt flinke eisen aan informatiebestanden en archieven die persoonsgegevens bevatten. In het kader van informatiebeveiliging in het algemeen is het bovendien van belang te weten wat u waar heeft staan en of informatie niet te lang bewaard wordt. BECIS biedt u onder andere de volgende opties op het gebied van aanwezige data en archieven:

    • Opstellen van een informatie-inventarisatie: wat bevindt zich waar, bevat het privacygevoelige informatie en wat is de waarde/het belang van de informatie?
    • Aanvullen van ontbrekende gegevens in archiefsystemen (bewaartermijnen, adresgegevens, selectiecriteria etc.)
    • Anonimiseren van archiefinventarissen voor publicatie
    • Schonen van dossiers, door bijvoorbeeld privacygevoelige informatie in een apart dossier op te nemen of reeds te vernietigen documenten ook daadwerkelijk te vernietigen
    • Opstellen of herzien van het informatiebeleid, werkprocessen en procedures

 

Datamanagementplan

Organisaties leggen steeds opnieuw dataverzamelingen aan. Dit komt bijvoorbeeld omdat de organisatie een nieuwe taak uitvoert of een nieuwe dienst gaat leveren. Veel van deze dataverzamelingen zijn niet gedocumenteerd. Om te voorkomen dat verkeerde informatie wordt verzameld of dat er dubbel werk wordt uitgevoerd, is het opstellen van een datamanagementplan een goede oplossing.

In een datamanagementplan staat informatie over de gegevens die gebruikt worden in een nieuw project of werkproces. Deze informatie wordt gebruikt om de waarde van het databestand en het beheer ervan te organiseren. Een datamanagementplan is tevens een bron voor het verwerkingsregister dat nodig is in het kader van de AVG.

Het datamanagementplan is ook buiten het onderwerp ‘privacy’ interessant, omdat informatie ook een geldelijke waarde kan vertegenwoordigen. Een databestand moet immers eerst gevuld worden en kan wellicht ten gelde worden gemaakt in een ander proces.  Daarnaast spelen de toepassing van bewaartermijnen en datakwaliteit hier een belangrijke rol.

Een datamanagementplan kan op meerdere niveaus worden opgesteld: organisatie, afdeling, werkproces of project. Het dient bovendien als basis voor het vullen van de informatie-inventaris. Door al vroeg in kaart te brengen wat er aan data wordt verzameld is de organisatie optimaal in controle over die gegevens.

Bij het opstellen wordt met name desk research uitgevoerd, die wordt getoetst met betrokkenen van uw organisatie.

Workshops

BECIS levert via ons eigen opleidingsinstituut DIOR Academy ook een aantal workshops betreffende informatieveiligheid. Hiermee kunt u de cultuur en bewustwording faciliteren naar het gewenste niveau binnen uw organisatie.

Uiteraard is het ook mogelijk een workshop op maat te organiseren. Maakt u hiervoor een afspraak met één van onze opleidingsadviseurs via telefoonnummer 070 – 820 06 28 of e-mail naar info@dior.nl.