10 tips voor privacy

Vroeger werd goede bescherming van persoonsgegevens nog gezien als een goed verkoopargument om aan klantwensen tegemoet te komen. Vandaag de dag wordt de bescherming van persoonsgegevens eerder gekoppeld aan mogelijk misbruik.

Hierbij kunnen we denken aan oneigenlijke toegang of blootstelling van persoonlijke informatie, dat resulteert in fraude en diefstal van identiteit. Deze zaken hebben tot gevolg dat privacy sterk stijgt op de lijst van bedrijfsrisico’s.

Organisaties zijn zich in toenemende mate bewust dat privacy geadresseerd moet worden als een onderdeel van het totale IT-risicomanagement en complianceproces en niet als een op zich zelf staand onderwerp.

De volgende 10 onderwerpen en vragen helpen uw organisatie te bepalen hoe kwetsbaar u bent op het gebied van privacy. Ze geven ook richting aan welke acties moeten worden genomen.

1. Informatie is macht: onderken de noodzaak voor het identificeren en classificeren van gegevens. Is er sprake van een goed ontwikkeld privacyprogramma in uw organisatie dat begint met het identificeren van alle persoonsgegevens zoals aanwezig in alle systemen, databases en opslagplaatsen voor handmatige processen? En hoe recent is de het dataclassificatiebeleid om te waarborgen dat relevante privacyregelgeving en risico’s worden geadresseerd?

2. Minder is meer: sanctioneer het gebruik van persoonsgegevens. Welke overwegingen zijn gemaakt in uw organisatie om het verzamelen, gebruiken, ontsluiten en bewaren van persoonsgegevens te beperken? En wordt specifiek overwogen om persoonsgegevens zo min mogelijk op te slaan op draagbare media of te versturen via e-mail?

3. De wereld in uw hand: persoonsgegevens die reizen via draagbare media. Zijn er in uw organisatie richtlijnen voor het gebruik van persoonsgegevens op draagbare media? Heeft uw organisatie overwogen om bijvoorbeeld op netwerk gebaseerde backup oplossingen te implementeren in plaats van draagbare media om het risico van diefstal of verlies hiervan te verminderen?

4. Decoderen of niet decoderen: het evoluerende gebruik van encryptie. Is in uw organisatie aandacht voor het implementeren en optimaliseren van encryptie oplossingen voor draagbare media en e-mails die persoonsgegevens bevatten?

5. In balans: het afspreken van strikte eisen met leveranciers en partners. Heeft uw organisatie geïdentificeerd welke persoonsgegevens worden uitgewisseld met derden en de wijze waarop de beveiliging hiervan is georganiseerd bij deze partijen?

6. Onderweg: persoonsgegevens en de telewerker zijn een manier van leven. Zijn in uw organisatie de telewerkmiddelen voorzien van beveiligingsmaatregelen zoals virus- en spyware bescherming, firewalls en encryptie? Worden de telewerkers getraind in het werken met persoonsgegevens in een dergelijke omgeving?

7. In noodgevallen: een plan voor het ergste geval. Beschikt uw organisatie over een proces om gebeurtenissen of incidenten over persoonsgegevens te managen? Test uw organisatie dit proces periodiek op zijn effectiviteit?

8. Het is een kleine wereld: ontwikkel privacyprocedures voor hier en in het buitenland. Heeft uw organisatie geïdentificeerd welke persoonsgegevens worden uitgewisseld met onderdelen van uw organisatie in het buitenland? Hoe is de beveiliging hiervan georganiseerd bij deze bedrijfsonderdelen?

9. Bouw een betere muizenval: monitor continu het gebruik van persoonsgegevens. Heeft uw organisatie een op een risico’s gebaseerd plan ontwikkeld voor het doorlopend monitoren van het gebruik van persoonsgegevens? Richt de monitoring zich op het functioneren van processen en de gereedschappen voor de bewaking van de persoonsgegevens? Richt de monitoring zich op het blijven voldoen aan alle relevante richtlijnen?

10. Werk samen: betrek de internal audit in privacy management. Beschikt uw organisatie over de benodigde gekwalificeerde interne auditors om uw privacy risico’s te beoordelen en uw organisatie te wijzen op mogelijke tekortkomingen?


Bron: Tijdschrift Financieel Management: ICT Update ism Ernst & Young