Heeft u een totaaloverzicht van alle verwerkingen van Persoonsgegevens?

Nováccent

De Autoriteit Persoonsgegevens (AP) heeft op 13 april 2017 een 10 stappenplan gepubliceerd dat organisaties kan helpen in de voorbereidingen op de nieuwe Europese Privacywetgeving. Vanaf 25 mei 2018 is deze Algemene Verordening Gegevensbescherming (AVG) van toepassing.

Wat ik interessant vind is stap 3 van dit beschreven plan, namelijk dat een organisatie alle gegevensverwerkingen in kaart moet brengen waarin persoonsgegevens worden verwerkt. Organisaties hebben onder de AVG een documentatieplicht. Zij moeten documenteren welke gegevens de organisatie verwerkt en met welk doel deze gegevens worden verzameld, waar de gegevens vandaan komen en met wie de organisatie de gegevens deelt. Organisaties moeten dus aantonen dat zij in overeenstemming met de AVG handelen. Dit overzicht kan ook nodig zijn in geval betrokkenen hun privacy-rechten uitoefenen. Als gegevens gecorrigeerd of verwijderd worden, moet dit worden doorgegeven aan de organisaties waarmee gegevens worden gedeeld. Tot slot moet tevens de wettelijke grondslag van de verwerking worden vastgelegd.

Ik loop inmiddels al meer dan 30 jaar rond in de IT en ik ben eerlijk gezegd nog nooit een organisatie tegengekomen die een volledig overzicht heeft van alle applicaties en gegevensbronnen. Om dit goed te beheersen is een hoog niveau van informatiemanagement van groot belang!

Dit impliceert dat veel organisaties een behoorlijke kluif hebben aan alleen al het voldoen aan deze stap voor 25 mei 2018.

Maar goed het is altijd makkelijk om een probleem op tafel te leggen. Wat zou een goede eerste stap zijn om het proces in gang te zetten?

Wanneer een datalek bekend wordt gemaakt heeft dit in 9 van de 10 gevallen betrekking op grote aantallen records van gegevens. Het zijn vaak lijsten met NAW gegevens, al of niet aangevuld met gevoelige persoonsgegevens. Als we dit als uitgangspunt nemen, dan kan je de vraag stellen waar deze gegevens vandaan komen. In de meeste gevallen gaat het om lijsten die worden gedownload uit applicaties en databases. Het uitgangspunt hierbij zijn dus de primaire applicaties, die de meest belangrijke processen in de organisatie ondersteunen.

Wanneer de gegevens nog in de applicatie worden verwerkt, dan kan men de beveiliging van de gegevens via autorisaties binnen de applicaties handhaven. Dit is nog relatief eenvoudig. Echter worden gegevens gedownload uit applicaties en de gegevens komen in bijvoorbeeld een PDF of Excel sheet terecht, dan is het veel lastiger om hier controle over te houden. Een PDF of Excel sheet kan overal opgeslagen worden en met een ieder worden gedeeld zonder dat de eigenaar hier weet van heeft. Fouten worden snel gemaakt en het risico op een datalek is dus in potentie veel groter.

Als een organisatie dit soort verwerkingen goed in beeld heeft en hoe de informatie binnen het proces wordt gedeeld, dan verkleint de organisatie de kans op een datalek aanzienlijk!

Wilt u meer praktische handvaten omtrent GDPR/ AVG? Kom dan naar de middag met workshops en sessies op 1 juni vanaf 12.00 uur georganiseerd door Nováccent en BeOne.

Stef Liethoff, Managing Partner Nováccent

data-competence security-services managed-ict innovation-center