Is uw organisatie echt AVG/GDPR-proof?

//Is uw organisatie echt AVG/GDPR-proof?
Nieuwsbrief Oktober
Is uw organisatie écht GDPR/AVG-Proof?
Bescherm uzelf tegen veelvoorkomende valkuilen.

Als het goed is voldoet uw organisatie sinds 25 mei 2018 aan de Europese GDPR, ofwel de Nederlandse AVG-wetgeving. Vaak niet zonder slag of stoot: dagen, weken of maanden werk, afhankelijk van de soort organisatie waarin u verkeert en het type informatie dat u hoofdzakelijk verwerkt. Hoewel iedere organisatie verplicht is om volledig volgens AVG te werken, kan het bijna onmogelijk voelen om écht aan alle regels te voldoen.Wij bespreken hieronder een aantal veelvoorkomende valkuilen, inclusief bijbehorende adviezen die u kunt opvolgen om datalekken te voorkomen of te beperken.
 

Valkuil 1: Maar dat zijn toch geen persoonsgegevens? 
Wat precies valt onder persoonsgegevens is soms uitgebreider dan in eerste instantie wordt gedacht. Persoonsgegevens zijn niet alleen gegevens die een individu direct identificeren (zoals een mailinglijst met e-mailadressen en bijbehorende namen), maar kunnen ook gegevens zijn die namens indirecte paden tot identificatie kunnen leiden (zoals IP-adressen). Het is van belang dat iedereen binnen een organisatie goed geïnformeerd is over wat persoonsgegevens zijn. Wij adviseren om minimaal één persoon binnen uw organisatie als “AVG-aanspreekpunt” te laten fungeren. Wanneer er twijfel heerst, of vragen zijn binnen de organisatie omtrent persoonsgegevens weet men wie er benaderd kan worden.

 

Valkuil 2: Ik snap helemaal niets van dit taalgebruik. 
Veel organisaties maken gebruik van privacy-verklaringen waarin zij aangeven wat er met persoonsgegevens gebeurd. Vaak staan dit soort verklaringen vol met ellendig veel juridische termen en vaktaal die voor de meeste mensen – lees: de meeste mensen betrokken bij uw organisatie – moeilijk te begrijpen zijn. De AVG schrijft nadrukkelijk voor dat verklaringen en overeenkomsten omtrent gegevensverwerking eenvoudig, toegankelijk en begrijpelijk moeten zijn. Personen uit alle lagen van uw organisatie, inclusief alle stakeholders, moeten dit soort documenten kunnen begrijpen.

Ons advies is om eens kritisch naar uw eigen privacy-documenten te (laten) kijken en secties waar onbegrip voorkomt eventueel te laten redigeren of “vertalen” door een professional (intern of extern). U kunt ervoor kiezen om privacy-documenten gelaagd op te stellen. Dit houdt in dat uitleg van breed naar smal gaat, van hoofdlijnen naar details. Op deze manier kan er gegarandeerd worden dat de tekst grotendeels behapbaar blijft voor de gemiddelde lezer, zonder dat er ingeleverd wordt op de juridische waarde.

 

Valkuil 3: Volgens mij heeft niemand iets gezien.
Volgens de AVG bent u verplicht om alle datalekken te registreren en binnen 72 uur te melden bij Autoriteit Persoonsgegevens. Zelfs de kleinste incidenten moeten gemeld worden. Vergeet een collega zijn/haar computer te vergrendelen en wordt deze PC of laptop onbewaakt achtergelaten tijdens de lunchpauze? Eigenlijk moet dit al gemeld worden. Stelt u zich voor dat toevallig een nieuwsgierige stagiaire of klant gevoelige informatie inziet die niet voor zijn/haar ogen bedoeld is en deze informatie vervolgens doorgeeft aan de (lokale) media.

De ernst van de gevolgen van een gebeurtenis als deze zal verschillen per organisatie, maar u bent in elk geval altijd beter ingedekt als u het heeft gemeld. In eerste instantie lijkt het misschien onzinnig om kleine incidenten te melden, maar uiteindelijk kan het u een hoop ellende besparen, van boetes tot rechtszaken. Het is hierbij goed om te weten dat als een datalek ontstaat als gevolg van een hack of ransomware, u het zelf moet melden, ook al zijn de gegevens niet door eigen nalatigheid vrijgekomen.

 

Valkuil 4: Is dat niet de verantwoordelijkheid van mijn IT-partner?
De AVG bepaalt dat er afspraken gemaakt moeten worden over de melding van datalekken. Er staat echter niets vermeld over de inhoudt van deze afspraken of over wie er verantwoordelijkheid draagt, de IT-leverancier of haar klantorganisatie. Als u IT afneemt bij TCA, bent u als het goed is al op de hoogte van deze afspraken. Bent u wel klant en niet op de hoogte? Neem dan zo snel mogelijk contact met ons op en dan zorgen we gelijk voor opheldering.

Geen klant bij ons en niet op de hoogte? Het is ontzettend belangrijk u afspraken maakt met uw IT-leverancier over de informatie die nodig is om een kwalitatieve en volledige administratie bij te houden. Kan uw IT-bedrijf bijvoorbeeld aantonen dat u zo veel mogelijk doet om datalekken te voorkomen? Dit soort informatie kan helpend zijn wanneer u het risico loopt op een boete.

 

Valkuil 5: Shadow IT, wat is dat? 
Heerst er binnen uw organisatie een cultuur waarin met enige regelmaat gebruik wordt gemaakt van Shadow IT? Dan is de kans groot dat AVG-wetgeving overtreden wordt. Shadow IT kan omschreven worden als alle IT die buiten de officiële goedkeuring en procedures valt van de IT-afdeling of IT-leverancier. Hierbij kan men denken aan (eigen) laptops, mobiele telefoons en USB-sticks zonder wachtwoord, maar ook privé (Cloud)omgevingen die gebruikt worden om zakelijke data mee te delen. Er zijn ten minste drie risico’s die vastkleven aan het gebruik van Shadow IT.

Ten eerste kan er een gebrek aan controle ontstaan over waar dataopslag plaatsvindt. Als personen binnen een organisatie op systemen werken die gehost worden vanuit een non-EU land bijvoorbeeld, kan dit al problemen opleveren. Ten tweede zijn ‘onbekende’ systemen en apparaten niet beveiligd door de IT-afdeling of IT-leverancier. Soms zijn dergelijke systemen of apparaten verouderd en/of niet goed beveiligd. Dit vergroot de kans op datalekken. Het derde risico heeft te maken met de onvoorspelbare werking van de systemen. Soms zijn er onverwachts kosten verbonden aan het gebruik van een systeem, maar ook kan de snelheid te wensen overlaten. Tevens kan de continuïteit in de beschikbaarheid van uw data niet gegarandeerd worden.

Het is tegenwoordig heel lastig om Shadow IT te verbieden op de werkvloer, maar het is zeker mogelijk om het gebruik ervan zo veel mogelijk te beperken. Een belangrijke voorwaarde is dat personen binnen uw organisatie zich bewust zijn van het feit dat er nooit vertrouwelijke data met, of namens Shadow IT mag worden gedeeld. Een andere belangrijke voorwaarde is dat er degelijke systemen beschikbaar zijn die het gebruik van Shadow IT zo veel mogelijk onnodig maken. Als deze niet beschikbaar zijn binnen uw organisatie, is het zeker het overwegen waard om hierin te investeren. Ook is het belangrijk om trainingen te geven waar nodig. Niet alleen op het gebied van de omgang met huidige systemen, maar ook over het gebruik, misbruik en de gevaren van Shadow IT.

 

Handig voor op kantoor! Bestel nu gratis een poster met veiligheidsinstructies in A3 formaat. 
Eén van de grootste bedreigingen voor organisaties vandaag de dag is ransomware, software die een computer blokkeert of bestanden versleutelt. Vaak moet men “losgeld” betalen om weer toegang te krijgen. Bestel nu gratis één of meerdere posters op A3-formaat met veiligheidsinstructies omtrent ransomware. Stuur een mailtje naar info@tca.nl of bel ons op 0592 – 37 80 80 om de poster te bestellen. 
 

Ons laatste advies: stuur deze nieuwsbrief door naar uw werknemers en/of collega’s! Het delen van kennis is een eerste voorwaarde voor een effectief AVG-beleid!Wij hopen dat u iets heeft gehad aan dit artikel. Heeft u naar aanleiding van deze nieuwsbrief vragen over de beveiliging en opslag van uw gegevens, of andere AVG-gerelateerde zaken? Schroom dan niet om contact met ons op te nemen. Onze experts geven u graag vrijblijvend advies.
By |2018-10-12T11:41:42+00:00oktober 12th, 2018|Categories: Uncategorized|0 reacties