20% techniek, 80% beleid: voldoe jij aan de Wet bescherming persoonsgegevens?

Campai-20-procent-techniek-80-procent-beleid2
Het Nieuwe Werken, ‘Bring Your Own Device’, social media en privé surfen: je medewerkers doen eraan en als werkgever ga je hierin mee. Maar naarmate de grenzen tussen zakelijk en privé vervagen, wordt het steeds lastiger om je te houden aan de Wet bescherming persoonsgegevens (Wbp). Het inperken van deze ontstane verworvenheden is echter impopulair. En daarom laten veel bedrijven het maar even zo.

Begrijpelijk, maar zeer onverstandig. Want wist je dat 80% van de datalekken wordt veroorzaakt door een probleem dat organisatorisch van aard is? En ben je ervan op de hoogte dat de regelgeving omtrent de bescherming van persoonsgegevens sinds 1 januari 2016 enorm is verscherpt (en in 2018 met de invoering van de Europese wet nóg strenger wordt)?

Vogelvrij

Voer je een ICT-gedoogbeleid, dan zijn je medewerkers nauwelijks beschermd tegen inbreuk op privacy. Eigenlijk zijn ze min of meer vogelvrij wanneer het aankomt op persoonsgegevensverwerking. En dat is natuurlijk niet de bedoeling, want uiteindelijk leidt dit tot problemen voor alle betrokken partijen.

Datalekken

Sinds 1 januari 2016 is de Autoriteit Persoonsgegevens bevoegd om boetes op te leggen bij overtreding van de privacywetgeving. En die is sneller geschonden dan je denkt. Beveilig je gegevensverwerking bijvoorbeeld niet op een passende manier of breng je personen van wie je gegevens verwerkt, niet op de hoogte van het doel van de gegevensverwerking, dan is er al sprake van een ernstige vorm van datalekken. In tegenstelling tot wat veel mensen denken wordt een datalek namelijk lang niet altijd veroorzaakt door een technisch probleem; meestal ligt een slecht intern ICT- en privacybeleid hieraan ten grondslag, waardoor onbevoegden toegang hebben tot persoonsgegevens.

Risicoafdekking

Dus zijn je firewalls, data-encryptie en malwarebeveiliging prima in orde? Dan heb je nog maar 20% van het risico afgedekt. De overige 80% komt voort uit het feit dat medewerkers niet weten wat er wel en niet is toegestaan. Mogen ze data in Dropbox zetten? Wat gebeurt er als hun smartphone of laptop, waarop gevoelige gegevens staan, wegraakt? Wat mogen ze op social media delen? Alles begint met het maken en vastleggen van goede afspraken. Hoog tijd om daar eens goed voor te gaan zitten, dus!

Kun je hier wel wat hulp bij gebruiken? Campai biedt een eenvoudige oplossing die je qua regelgeving én techniek helpt bij het voldoen aan de Wbp. Zo kun je je ICT-beleidsdocumenten opstellen in de zekerheid dat ze aan alle wetten en regels voldoen. Vervolgens is het mogelijk om je beleid in technisch opzicht te bewaken en datalekken te voorkomen. Neem gerust eens contact op om de mogelijkheden te bespreken!

PS. Wil je weten hoe de feiten die we in dit artikel beschrijven, er in de praktijk uitzien? Lees dan eens dit artikel over een medewerker die – ongetwijfeld met goede bedoelingen – wat thuiswerk wilde verrichten!