Weet u precies welke gegevens uw bedrijf verwerkt?

Inventaris

Tijdens gesprekken met bedrijven stellen we vaak de vraag of die bedrijven wel precies weten welke informatie er in hun bedrijf wordt verwerkt. Dit is voor veel bedrijven een vraag waarop ze niet positief kunnen antwoorden. Er is geen enkel overzicht van de informatie die in het bedrijf aanwezig is, welke verwerkingen er op de gegevens worden uitgevoerd en aan wie de gegevens vervolgens worden verstrekt. De vragen die je hierbij kunt stellen zijn bijvoorbeeld: Welke gegevensbestanden heeft u? Wat voor informatie staat daar in? Zijn dat persoonsgegevens? Is dan het doelbeginsel beschreven? Aan welke wet- en regelgeving moeten we voldoen om die gegevens te mogen verwerken? Wie heeft er toegang tot de gegevens? Wie is de eigenaar van de gegevens? Worden er backups gemaakt? Aan wie worden de gegevens beschikbaar gesteld? Bestaat er een verwerkingsovereenkomst? etc. etc. etc.

Wet & regelgeving

Er zijn twee belangrijke redenen om deze informatie goed in kaart te brengen. De eerste reden heeft te maken met de security: Als je niet weet wat je hebt kun je het ook niet beschermen. Hoe kun je bijvoorbeeld een datalek voorkomen als je niet weet welke data je in huis hebt. De tweede reden heeft te maken met de wet- en regelgeving. Op 10 februari 2015 zijn er een aantal wijzigingen in de WBP (Wet Bescherming Persoonsgegevens ) aangenomen door de tweede kamer. De belangrijkste wijziging is een meldplicht voor datalekken. Bedrijven moeten datalekken binnen 48 uur melden aan de toezichthouder. Handhaving gebeurt middels torenhoge boetes. Daar bovenop komt nog eens een aanscherping van de privacywetgeving op Europese schaal. Er is een nieuwe Europese privacy wetgeving aangekondigd die van kracht wordt in alle Europese lidstaten. Deze wet stelt nóg hogere eisen aan het verwerken van persoonsgegevens. Voorbereiding is daarom van groot belang! Laat een onderzoek uitvoeren naar de gegevensverwerkingen in uw organisatie. Een juridische beoordeling maakt duidelijk of u aan bepaalde wet- en regelgeving moet voldoen. Een risico analyse brengt de dreigingen en gevaren boven water en vervolgens kunt u de juiste maatregelen bedenken (én uitvoeren!) ter bescherming van de gegevens en het waarborgen van de privacy.

data