Heeft jouw organisatie de informatiebeveiliging op orde wanneer de Autoriteit Persoonsgegevens hierom vraagt?
Data met context is informatie. Informatie is voor veel organisaties het nieuwe goud – en die goudmijn wil je goed beveiligen. Een deel van de informatie in je organisatie is herleidbaar naar personen, zoals e-mailadressen, NAW of medische gegevens. Volgens de AVG moeten deze persoonsgegevens proportioneel (in verhouding tot het risico) beschermd worden. Doe je dat niet, dan kun je hoge boetes van de Autoriteit Persoonsgegevens (AP) tegemoet zien. Die boetes worden steeds vaker opgelegd. Hoe komt dat en – belangrijker nog – wat kun je eraan doen? Technisch consultant Boris van der Sloot is dagelijks bezig met privacymanagement. In dit artikel deelt hij zijn ervaringen uit de praktijk.
De urgentie is hoog
Bij informatiebeveiliging draait het niet alleen om het beveiligen/beschermen van informatie, maar ook om het zorgvuldig registreren van de verwerkte informatie. Het in control zijn over de persoonsgegevens die je als organisatie verwerkt is actueler dan ooit. Veel organisaties zijn dan ook actief bezig met privacymanagement. Toch groeit de lijst met opgelegde boetes en lasten onder dwangsom. Ergens gaat het dus mis bij het overzicht van de verwerkte gegevens en/of het afleggen van verantwoording aan toezichthouders zoals de AP. Hoe komt het dat het veel organisaties niet goed lukt om de persoonsgegevens te beschermen?
Hier gaat het vaak fout bij privacymanagement
In de praktijk zien we drie uitdagingen waar organisaties mee worstelen en waardoor zij niet ’in control’ zijn over hun privacy-informatie.
1. Het correct vastleggen van verwerkte persoonsgegevens De toenemende digitalisering zorgt ervoor dat organisaties omvangrijke hoeveelheden data verwerken van allerlei betrokken partijen. Veel organisaties hebben een globaal beeld van de gegevens die zij verwerken. Maar ‘globaal’ is niet voldoende in de ogen van de AP. De AP verwacht daarnaast ook een specificatie en een rechtmatigheidsverklaring. Met andere woorden, een organisatie moet kunnen toelichten welke gegevens zij per entiteit bijhouden en welke rechtsgronden het verwerken van die privacygevoelige informatie legitimeren. Het vastleggen en beheren van deze details blijkt vaak een onbegonnen zaak zonder hiervoor ontwikkelde software.
2. Het centraliseren van informatie Het komt geregeld voor dat binnen organisaties afdelingen als zelfstandige eilandjes hun privacyrisico’s bijhouden. Juist bij samenwerkende afdelingen is het centraliseren van de privacy-informatie belangrijk. Maar in de praktijk blijkt dit meer dan eens een groot struikelblok te zijn. Hier gaat het dan ook regelmatig fout. Het is onduidelijk wie verantwoordelijk is voor welke informatie en een helder gecentraliseerd beeld van de verwerkte persoonsgegevens ontbreekt.
3. Het rapporteren over verwerkte persoonsgegevens Het vastleggen en monitoren van de verwerkingen is een goede eerste stap. Maar wat heb je aan die informatie als je deze niet kunt delen met toezichthouders en verantwoordelijke en/of betrokken entiteiten? Vaak worden gegevens in verschillende systemen of bestanden bijgehouden. Deze manier van werken geeft moeilijkheden als er een verzoek binnenkomt om bepaalde informatie aan te leveren. Het blijkt dan vaak een zeer arbeidsintensieve klus om de juiste gegevens boven water te krijgen. Bovendien bestaat het risico dat dit teveel tijd kost dat het niet lukt om binnen de AVG reactietermijn te rapporteren. Het is daarom raadzaam om (geautomatiseerde) rapportageprocessen vroegtijdig in te richten.
De volgende stap in privacymanagement: van controleren naar ‘in control zijn’
De bovengenoemde uitdagingen komen wij tegen bij organisaties van diverse omvang, type en markt. Om daadwerkelijk ‘in control’ te zijn op het gebied van privacymanagement is het van belang om zicht te hebben op wat er in alle uithoeken van de organisatie gedaan of juist nagelaten wordt. Dat kan alleen als medewerkers op alle niveaus op dezelfde manier te werk gaan. Daarbij is het belangrijk dat je het de medewerkers zo makkelijk mogelijk maakt met goede privacysoftware. Deze software stelt medewerkers op een laagdrempelige manier in staat om snel, correct en soms zelfs geautomatiseerd privacyrisico’s te registreren. Met ‘Compliance by design’ zorg je ervoor dat processen en afdelingen op eenzelfde manier worden ingeregeld door de hele organisatie heen. En dat de medewerkers worden gefaciliteerd in de werkzaamheden die zij moeten uitvoeren. De decentraal geregistreerde informatie wordt vervolgens centraal gemonitord. Zo ontstaat een eenduidig beeld over de bescherming van persoonsgegevens binnen de organisatie.
Zo lost Key Control Dashboard het op
Yellowtail helpt 100+ publieke en private organisaties met sterke en gebruiksvriendelijke privacysoftware: het Key Control Dashboard. Het Key Control Dashboard lost de drie eerder genoemde knelpunten rond privacymanagement op de volgende manier op.
1. Het correct vastleggen van verwerking van persoonsgegevens Het Key Control Dashboard bevat dashboards die specifiek ingericht zijn voor de privacybehoefte van organisaties. Met één druk op de knop wordt een verwerking vastgelegd. Tot op gedetailleerd niveau is per relatie vast te leggen welke gegevens verwerkt worden en wat hiervoor de rechtsgronden zijn. Bovendien wordt, op basis van de opgevoerde gegevens, automatisch bepaald of er een ‘Data Protection Impact Assessment’ (DPIA) uitgevoerd moet worden.
2. Centraliseren van privacymanagement Het Key Control Dashboard stelt organisaties in staat om op decentraal niveau verwerkingen te registreren en vervolgens alle verwerkingsactiviteiten te centraliseren. Zo kan de Functionaris Gegevensbescherming (FG) of Privacy Officer (PO) op decentraal niveau een verwerking vastleggen voor zijn/haar afdeling en daarbij registreren welke processen, systemen en entiteiten betrokken zijn bij deze verwerking. De Chief Informatie Security Officer (CISO) ziet via het KCD management informatie van alle afdelingen tezamen. Hij of zij kan zien welke gegevens worden verwerkt voor welk systeem, proces of entiteit en of er overlap bestaat van verwerkingen van verschillende afdelingen of dat er juist informatie ontbreekt.
3. Rapporteren van gegevensverwerkingen Met het Key Conctrol Dashboard rapporteren organisaties met één druk op de knop snel, real-time en toereikend over de gegevens die verwerkt worden binnen de organisatie (Excel, Word, PDF, PowerPoint, CSV, XML e.d.). Zo weet je direct welke afdeling, wanneer, op welke rechtsgronden, welk soort gegevens verwerkt en door wie. Zo is jouw organisatie altijd in staat om te rapporteren binnen de reactietermijn van de AVG.
Door: Boris van der Sloot
Meer weten?
Wil je vrijblijvend sparren over de toegevoegde waarde van Key Control Dashboard? Neem dan contact op met Boris van der Sloot of Stef de Graaf. Of vraag direct een demo aan via https://keycontroldashboard.nl/wp/demo-aanvragen/
Boris van der Sloot
https://www.linkedin.com/in/boris-van-der-sloot-2831a9116/
bvandersloot@keycontroldashboard.nl
Boris is technisch consultant en was direct betrokken bij het ontwikkelen van de Privacymanagement module in het Key Control Dashboard.