Robin Beiler – Managing Consultant
Stel je voor: je zit lekker op de bank en de postbode komt langs. Je hebt niks besteld, maar je hoort toch dat er een pakketje op de grond valt. Vreemd, even kijken wat dat is. De verpakking ziet er bekend uit: je bestelt wel eens wat via Chinese webshops, het is een vergelijkbare verpakking. Je denkt goed en diep na: zou je misschien toch iets besteld hebben? Soms kan het een paar weken duren voordat bestellingen bezorgd worden. Je opent het pakketje en er zitten zaadjes in. Zaadjes voor in de tuin. Leuk maar waarom? En nog belangrijker: Hoe komen ze aan je adresgegevens? Hoe zit het met de privacy? En hoe kan een Privacy Information Management System hierbij helpen?
En dan komen we op een belangrijk onderwerp: Privacy(ISO 27701). Naam en adresgegevens worden door veel bedrijven ‘verwerkt’. Dat wil zeggen, verzameld, opgeslagen en bewaard. Allemaal met de beste bedoelingen. Maar in de praktijk blijkt het vaak lastig om op een adequate manier technische en organisatorische maatregelen te nemen om deze gegevens te beschermen. Met andere woorden: om ervoor te zorgen dat jouw gegevens niet ergens anders voor worden gebruikt, dan waar je ze voor gegeven hebt. Een Privacy Information Management System kan u hierbij helpen.
Voor een bedrijf zijn er naar aanleiding van de AVG wetgeving veel verantwoordelijkheden om jouw gegevens te beschermen. Zo zal je vast regelmatig de melding krijgen dat er cookies op een site gebruikt worden en mag je kiezen of je deze accepteert of niet. Ook zie je een link of een verwijzing naar een privacy statement op websites, waarbij je soms op ‘OK’ moet klikken.
Wat je niet ziet, is dat vrijwel elk bedrijf een verwerkingsregister bijhoudt en overeenkomsten sluit met andere bedrijven. Daarin legt men de afspraken vast wie welke verantwoordelijkheden heeft met betrekking tot (bijzondere) persoonsgegevens.
En dat is niet altijd even makkelijk. Want elk bedrijf heeft dit weer anders georganiseerd. Sommige bedrijven maken checklists in OneNote, in Google of in andere software. Verwerkingsregisters houdt men bij in Excel van Microsoft, in Google Spreadsheets of in databases. Hierdoor is het makkelijk om het overzicht kwijt te raken. Maar het is ook lastig om werkzaamheden over te dragen. En het is niet duidelijk of en zo ja, welke voorzorgsmaatregelen er genomen zijn om gegevens te beschermen.
Dan voldoe je dus mogelijk niet aan de AVG. En dus niet aan de wet. Als bedrijf loop je een verhoogd risico op inbreuken in verband met persoonsgegevens (datalek), imagoschade of zelfs boetes van de Autoriteit Persoonsgegevens.
Zo kreeg het Haga Ziekenhuis €460.000,- boete voor een slechte beveiliging van patiëntdossiers, het KNLTB kreeg €525.000,- boete voor de verkoop van ledengegevens en het BKR kreeg €830.000,- boete omdat zij kosten in rekening brachten voor inzage van eigen persoonsgegevens.
In 2019 was er een stijging van 29% in het aantal datalekken ten opzichte van 2018. Bij een datalek gaat het om ‘vernietiging, vrijkomen of wijzigen’ van persoonsgegevens. Maar ook om toegang tot persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van desbetreffende organisatie. Ook was er een stijging van 25% in het aantal meldingen naar aanleiding van hacking, phishing of malware-incidenten (bron: AP – Meldplicht datalekken: facts & figures. Overzicht feiten en cijfers 2019).
En dan komen we op een belangrijk onderwerp: Privacy. Naam en adresgegevens worden door veel bedrijven ‘verwerkt’. Dat wil zeggen, verzameld, opgeslagen en bewaard. Allemaal met de beste bedoelingen. Maar in de praktijk blijkt het vaak lastig om op een adequate manier technische en organisatorische maatregelen te nemen om deze gegevens te beschermen. Met andere woorden: om ervoor te zorgen dat jouw gegevens niet ergens anders voor worden gebruikt, dan waar je ze voor gegeven hebt. Een Privacy Information Management System kan u hierbij helpen.
Voor een bedrijf zijn er naar aanleiding van de AVG veel verantwoordelijkheden om jouw gegevens te beschermen. Zo zal je vast regelmatig de melding krijgen dat er cookies op een site gebruikt worden en mag je kiezen of je deze accepteert of niet. Ook zie je een link of een verwijzing naar een privacy statement op websites, waarbij je soms op ‘OK’ moet klikken.
Wat je niet ziet, is dat vrijwel elk bedrijf een verwerkingsregister bijhoudt en overeenkomsten sluit met andere bedrijven. Daarin legt men de afspraken vast wie welke verantwoordelijkheden heeft met betrekking tot (bijzondere) persoonsgegevens.
En dat is niet altijd even makkelijk. Want elk bedrijf heeft dit weer anders georganiseerd. Sommige bedrijven maken checklists in OneNote, in Google of in andere software. Verwerkingsregisters houdt men bij in Excel van Microsoft, in Google Spreadsheets of in databases. Hierdoor is het makkelijk om het overzicht kwijt te raken. Maar het is ook lastig om werkzaamheden over te dragen. En het is niet duidelijk of en zo ja, welke voorzorgsmaatregelen er genomen zijn om gegevens te beschermen.
Dan voldoe je dus mogelijk niet aan de AVG. En dus niet aan de wet. Als bedrijf loop je een verhoogd risico op inbreuken in verband met persoonsgegevens (datalek), imagoschade of zelfs boetes van de Autoriteit Persoonsgegevens.
Zo kreeg het Haga Ziekenhuis €460.000,- boete voor een slechte beveiliging van patiëntdossiers, het KNLTB kreeg €525.000,- boete voor de verkoop van ledengegevens en het BKR kreeg €830.000,- boete omdat zij kosten in rekening brachten voor inzage van eigen persoonsgegevens.
In 2019 was er een stijging van 29% in het aantal datalekken ten opzichte van 2018. Bij een datalek gaat het om ‘vernietiging, vrijkomen of wijzigen’ van persoonsgegevens. Maar ook om toegang tot persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van desbetreffende organisatie. Ook was er een stijging van 25% in het aantal meldingen naar aanleiding van hacking, phishing of malware-incidenten (bron: AP – Meldplicht datalekken: facts & figures. Overzicht feiten en cijfers 2019).
Zoals je ziet, is de noodzaak om op een goede en structurele manier ervoor te zorgen dat je aan de AVG voldoet erg belangrijk. Maar dit wil je wel op een manier doen, zonder dat je oneindig lang bezig bent. Of dat je oneindig veel tijd en geld hoeft te investeren. Want ondanks dat persoonsgegevens belangrijk zijn, is de bedrijfsvoering evengoed belangrijk.
Kan dat? Jazeker, dat kan met een PIMS! Een Privacy Information Management System. Een systeem dat helpt bij het centraal organiseren en beheren, als het op privacy aankomt. Op die manier kun je op een overzichtelijke en gemakkelijke manier alle relevante informatie op een centrale plek opzoeken. Dit maakt het voor organisaties makkelijker om integraal aan de AVG te voldoen. Voor een Functionaris Gegevensbescherming is dit een ideale tool, maar ook voor Privacy Officers heeft een PIMS zeker meerwaarde.
Een Privacy Management Information System is een uitbreiding van het ISMS. Een Information Security Management System. Dit ISMS heeft als doel informatie te beschermen op een systematische manier. Waarbij gekeken wordt naar integriteit, vertrouwelijkheid en beschikbaarheid. Een PIMS is daarom uitermate geschikt om te combineren met andere normen. Het meest voor de hand liggend is de ISO 27001 certificering voor informatiebeveiliging, maar het kan ook goed gecombineerd worden met de ISO 9001 certificering voor kwaliteit.
Afhankelijk van het systeem dat je kiest, zitten er bepaalde functionaliteiten wel of niet in het systeem. Bijvoorbeeld de functionaliteit om relevante documenten op een centrale plek op te slaan. Of de mogelijkheid om voor elkaar bevindingen en bijbehorende taken aan te maken. Zodat het inzichtelijk is wie welke bevinding verder oppakt. Een van de beschikbare systemen is ons eigen management systeem SmartManSys. Zo beschikt SmartManSys over een verwerkingsregister en een DPIA module, waarbij je via de vragenlijst in de module een DPIA (Data Protection Impact Analyse) laagdrempelig kunt uitvoeren. Ook kun je datalekken, incidenten en klachten registreren, afwijkingen aanmaken en taken uitzetten. Het is aan te raden om jezelf vooraf af te vragen wat belangrijk is voor de organisatie als het om een PIMS of ISMS gaat. Op basis daarvan bepaal je welke van de oplossingen die in de markt geboden worden, het beste aansluit op je behoeften.
Een PIMS inrichten is natuurlijk niet zomaar gedaan. Eerst is het belangrijk om te inventariseren wat er precies nog gedaan moet worden, een stappenplan op te stellen en vervolgens uit te voeren. Als er al een ISMS aanwezig is, gaat de implementatie sneller. Afhankelijk van het expertiseniveau dat in de organisatie aanwezig is, kun je dit als organisatie zelf doen of je kunt hier hulp bij inroepen van bedrijven die hierin gespecialiseerd zijn.
Dankzij een goede implementatie van een PIMS heb je duidelijk en inzichtelijk in kaart gebracht of de genomen maatregelen grondig en compliant zijn aan de wet- en regelgeving. Doordat het managen van alle informatie makkelijker is geworden en de gegevensstromen inzichtelijker zijn, komen eventuele zwakheden sneller aan het licht. Ook is er meer tijd over om aandacht te besteden aan degenen die, vaak onbewust, de grootste invloed hebben op datalekken: de medewerkers.
Die zijn in verschillende Europese landen, zoals Duitsland en België, maar ook in Canada en de Verenigde Staten naar duizenden mensen ongevraagd opgestuurd. Afkomstig uit buitenlandse webshops. Hoe ze aan de adresgegevens gekomen zijn en waarom ze verstuurd zijn, is niet duidelijk. Maar het vermoeden is dat er op deze manier positieve beoordelingen geschreven konden worden voor die webshops.
Laten wij er vooral ons best voor doen en onze verantwoordelijkheid nemen door te zorgen dat onbevoegde partijen niet met onze persoonsgegevens zaadjes kunnen gaan versturen.
Blog geschreven door Robin Beiler, Managing Consultant.