Vier voorwaarden voor een succesvolle implementatie van privacybeleid

EU Privacy

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

De AVG zorgt onder meer voor versterking en uitbreiding van privacyrechten, meer verantwoordelijkheden voor organisaties en dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen[1].

Voor bedrijven en organisaties die persoonsgegevens verwerken is het van groot belang dat zij aan de nieuwe wetgeving voldoen.

In deze blogpost wordt inzicht geboden in vier zaken die essentieel zijn voor een succesvolle implementatie van het privacybeleid.

Betrek iedereen

Voor een succesvolle implementatie van het door de organisatie geformuleerde privacybeleid is het belangrijk dat dit beleid breed gedragen wordt en dat naast het management ook alle andere medewerkers weten wat van ze verwacht wordt. Om dit te realiseren dient de volledige organisatie bewust te worden gemaakt van nut en noodzaak van het privacybeleid. In veel gevallen zal hiertoe aanvullende training nodig zijn.

Documenteer alles

Om het beleid succesvol door te voeren, maar ook om compliance aan te tonen met de wet- en regelgeving dienen alle privacy-gerelateerde zaken goed gedocumenteerd te worden. Op het gebied van persoonsgegevens moet worden bijgehouden op welke manier deze gegevens gebruikt (mogen) worden en wat aan dienstverleners doorgegeven wordt. Ook de invoerbronnen, opslagwijze en dataflows moeten worden geïnventariseerd. Bij het gebruik van een datawarehouse moet duidelijk zijn waarom bepaalde gegevens worden bewaard. Persoonsgegevens mogen immers alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld (doelbinding). Daarnaast moet ten allen tijde duidelijk zijn en bijgehouden worden op welke manier toestemming (consent) kan worden gegeven voor het gebruik van de gegevens en wat er dan exact met de gegevens gedaan mag worden.

Belangrijk hierbij is dat de informatie zoveel mogelijk decentraal wordt opgeslagen. Bij het centraliseren van informatie creëer je een grote pot met kroonjuwelen waar hackers zich op kunnen richten. Bij decentrale opslag is dat risico minder groot.

Bij het ontwikkelen van producten en diensten (waaronder informatiesystemen) moet vanaf het eerste begin aandacht worden besteed aan privacyverhogende maatregelen (“privacy by design”).

Daarbij dienen de verschillende ontwerpbeslissingen op een gestructureerde manier te worden bijgehouden, zodat achteraf getoetst kan worden welke maatregelen het gewenste resultaat opleveren. Eventuele veranderingen in de infrastructuur of het applicatielandschap mogen alleen doorgevoerd worden met inachtneming van de eerder overeengekomen ontwerpbeslissingen.

Om compliance met wet- en regelgeving te kunnen aantonen is het vastleggen van de consent van gebruikers cruciaal. Voor iedere gebruiker moet duidelijk zijn waarvoor hij of zij toestemming heeft gegeven (let op: ouders geven consent voor kinderen) en dit moet snel en eenvoudig kunnen worden aangetoond indien de gebruiker hierom vraagt.

Ken de risico’s

Boetes vanuit de wetgever voor non-compliance vormen niet het enige risico. Minstens zo belangrijk zijn de risico’s op imagoschade, verminderde klanttevredenheid en de mogelijkheid dat de concurrentie voordeel heeft van tekortkomingen van de organisatie op het gebied van privacy.

Periodiek dienen daarom risicoanalyses op bewerkingsprocessen te worden uitgevoerd. Voor het aantonen van compliance op privacy-gebied is het betrekken van de Privacy Impact Assessment hierbij van belang. Een dergelijke PIA moet standaard onderdeel worden van de risicoanalyse van de organisatie.

Heb procedures

De wetgever verplicht bedrijven en organisaties die persoonsgegevens verwerken om procedures te definiëren en te implementeren zodat een consistente aanpak gegarandeerd wordt. Alleen op die manier ben je namelijk in staat om aan te tonen dat je in control bent.

Deze procedures hebben betrekking op de manier waarop klantvragen beantwoord worden, op de wijze waarop informatie wordt verstrekt over de vastgelegde gegevens en de manier waarop gegevens verwijderd worden. Goed ingerichte procedures zorgen er bovendien voor dat lekken gedetecteerd, gemeld en onderzocht kunnen worden. Tenslotte is het van belang om procedures in te regelen voor het reduceren en verwijderen van de bewaarde informatie. Een systematische aanpak gedurende de hele lifecycle (lifecycle management) is dus vereist.

 

Deel dit bericht via:Tweet about this on TwitterShare on LinkedInEmail this to someoneShare on FacebookShare on Google+Pin on PinterestPrint this page

Door de site te te blijven gebruiken, gaat u akkoord met het gebruik van cookies. meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten