Eind maart en in april was het weer een paar keer raak: vooraanstaande bedrijven kregen te maken met een datalek. De gegevens van honderdduizenden klanten kwamen daarbij naar buiten. Sommige bedrijven werden zelfs gechanteerd met deze data. Tegen betaling zou de gestolen data niet worden gepubliceerd. Dit laat maar weer eens zien hoe belangrijk goed privacy management is. Niet voor niets winnen systemen op dit gebied steeds meer aan populariteit. Maar wat heb je er precies aan? En behoedt het organisaties voor een datalek?

 

Wat is een privacy management systeem (PMS)

Een privacy management systeem (ook wel PMS genoemd) bestaat uit verschillende componenten, waarmee je de veiligheid van jouw data beter inzichtelijk krijgt en hebt. Het helpt je om te zien wat voor data je allemaal in beheer hebt, wat je ermee doet en wat je moet doen zodra deze data op straat komt te liggen. Componenten die hierbij helpen zijn het Register van Verwerkingen, Incident- en datalekkenregister, AVG-Register en Normenkader toetsing.

 

Basis op orde met normenkaders

Er zijn verschillende normenkaders die je kunt gebruiken om de bescherming van privacy en data binnen je organisatie te toetsen, zoals de CIP AVG, NOREA of de BIO. Belangrijk is om te weten welke gegevens je als organisatie verwerkt en wat er met deze data gebeurt. Deze factoren  bieden kaders wat je moet vastleggen om aan te tonen welke technische en organisatorische maatregelen je neemt om te voldoen aan het opgestelde privacy- en/of informatiebeleid. Vastleggen, daar gaat het om.

 

Van rampzalig naar inzichtelijk

Tot zover klinkt het eenvoudig. Maar in de praktijk hebben privacy officers vaak de grootste moeite om de benodigde informatie te vergaren om aan te tonen dat hun organisatie ‘in control’ is als het om privacy gaat. Chief Information Security Officers (CISO’s) hebben behoefte aan totaaloverzicht, maar krijgen dat niet omdat de informatie zich overal in de organisatie bevindt. Veel organisaties werken voor hun privacy management nog met Excel-sheets en die bij elkaar voegen is erg ingewikkeld en tijdrovend. Elke afdeling schrijft weer anders en dat maakt het maken van eenduidige rapportages vrijwel ondoenlijk. Hierin schuilt de grote kracht van een privacy management systeem: uniformiteit en overzicht. Op ieder niveau in de organisatie weet je hoe de vlag erbij hangt als het gaat om privacy. Rapportages rollen er zo uit. Bovendien kunnen er verbanden worden gelegd tussen systemen en diverse normenkaders. Geeft een controle op een systeem een bevinding? Dan wordt deze bevinding gelijktijdig getoond op een betrokken normenkader. Ofwel: check once, comply to many. Dat bespaart je veel werk en tijd.

 

Verklein de gevolgen en impact van een datalek

Dat inzicht en overzicht helpt je ook door de storm als je te maken krijgt met een datalek – klein of groot. Met een passend systeem heb je namelijk goed uitgewerkt en vastgelegd wat je op zo’n moment te doen staat. Je weet wat er lekt en uit welk systeem, en je weet met wie je gegevens deelt. Zijn dat bijvoorbeeld alleen namen, dan is de impact relatief beperkt. Liggen er ook BSN’s op straat, dan is de schaal en de urgentie waar je op moet acteren beduidend anders. Omdat je met dit systeem weet wat de vervolgstappen zijn, verklein je de gevolgen van een datalek en de impact van die gevolgen. Natuurlijk, voorkomen is nog altijd beter dan genezen. Ook daar helpt het privacy management systeem bij. Want dit systeem bevat de beheersmaatregelen en bijbehorende acties die de kans op een datalek verkleinen. De controle hierop blijft voortdurend onder de aandacht, waardoor de risico’s afnemen. Dat kan je een hoop ellende besparen.

 

Groeiend privacybewustzijn

Behalve dat je als organisatie een wettelijke verplichting hebt om zorgvuldig om te gaan met privacygevoelige gegevens (en de boetes hoog kunnen zijn bij een datalek), wordt ook imago in toenemende mate belangrijk. Klanten en burgers letten steeds meer op hoe een organisatie omgaat met hun gegevens. Is de beveiliging gewaarborgd? Worden data opgeslagen in Europa of in de VS – waar andere regels gelden met betrekking tot beveiliging van persoonsgegevens? Het privacybewustzijn groeit overduidelijk en dat is een factor om rekening mee te houden. Ook dat kan aanleiding zijn om een systeem te gebruiken, want daarmee laat je zien wat je doet aan de bescherming van de privacygevoelige gegevens van klanten of burgers.

 

Stok achter de deur

Om met een dergelijk systeem te gaan werken, moeten de interne processen natuurlijk wel op orde zijn. Dus: welke gegevens leg je vast, hoe doe je dat en in welke systemen? Welke onderdelen wil je controleren en wie is waarvoor verantwoordelijk? Eigenlijk is het net als met een bibliotheek: je hebt boeken nodig om te kunnen documenteren en sorteren. Is dit proces nog niet goed op orde? Dan is het starten met een privacy management systeem een mooie stok achter de deur om de privacybescherming nu echt beter te organiseren. Het mooie is dat dat niet allemaal in één keer hoeft. Begin klein en breid daarna stap voor stap uit. Start met de voor jou belangrijkste afdeling of het belangrijkste proces. Als het daar goed loopt, ga je verder.

Er zijn dus verschillende redenen waarom steeds meer organisaties kiezen voor hulp op het gebied van privacy en beveiliging van data. Heb je een systeem op dit gebied nodig? Strikt genomen niet. Maar het maakt het leven wel een stuk gemakkelijker.

 

Meer informatie over een privacy management systeem (PMS)

Meer weten over het gebruik van een privacy management systeem? Of wil je weten hoe de bescherming van privacy geïntegreerd is in ons Key Control Dashboard? Neem dan contact op met Customer Success Manager Sanne Floris.