Simpel gezegd: ja. Organisaties moeten garant staan voor een werkomgeving die voldoet aan de privacywet. In de praktijk bestaat het ‘beleid’ van de meeste bedrijven echter uit losse puzzelstukjes die samengesteld meestal niet voldoen aan de criteria van de geldende privacywetgeving. Is dit bij jou ook zo?
Het volgende is voor iedere organisatie relevant: is er een ICT- en privacybeleid waarin je duidelijke afspraken hebt vastgelegd tussen directie en medewerkers? Zijn de zaken goed geregeld zonder dat medewerkers het gevoel krijgen dat je ze controleert? Worden ongewenste websites en games of schadelijke beelden gefilterd? Welke persoonsgegevens bewaar je, hoe lang doe je dit en heb je hiervoor de instemming van de betrokkenen? Wat zijn de spelregels met betrekking tot social media?
Eenvoudige vragen, als je erover nadenkt. En toch hebben organisaties hier meestal geen eenduidig antwoord op.
Wat is een ICT- en privacybeleid?
Kortgezegd omvat een ICT- en privacybeleid beleidsdocumenten en afspraken over onder andere de volgende elementen:
- Gebruik van hardware, software en mobiele apparaten;
- Monitoren, loggen, registreren, verwerken en rapporteren;
- Autorisatie en geheimhouding;
- Privacyreglementen;
- ICT-gebruiksreglementen;
- Privégebruik van internet en e-mail onder werktijd;
- Procedures voor het voldoen aan wettelijke criteria.
De ontwikkeling, handhaving en controle van het beleid moeten voldoen aan de privacywetgeving.
Wat betekent de privacywetgeving voor een organisatie?
De beveiliging van persoonsgegevens moet voor iedere organisatie vooropstaan. Wil je datalekken voorkomen, dan moet je de nodige technische en organisatorische maatregelen treffen. Dat begint bij het ontwikkelen van een overkoepelend ICT-beleid. Daarbij is de manier waarop je organisatie omgaat met persoonsgegevens het belangrijkst. Houd de meldplicht bijvoorbeeld goed in de gaten; deze is eerder aan de orde dan je denkt! Voldoet het ICT- en privacybeleid van je organisatie niet aan de privacywetgeving, dan loop je de kans om een boete voor nalatigheid te krijgen.
ICT- en privacybeleid binnen een organisatie: waarom gaat het mis?
Hoewel dit onderwerp steeds meer wordt belicht in het (vak)nieuws, hebben weinig organisaties hun ICT- en privacybeleid écht goed geregeld. Waarom is dit het geval? We hebben de meest voorkomende redenen voor je op een rij gezet:
- Het beleid leeft niet echt en staat laag op de prioriteitenlijst;
- Er heerst onwetendheid over juridische risico’s;
- De juridische en technische complexiteit is groot én wet- en regelgeving verandert steeds;
- Het is niet bekend welke persoonsgegevens – waaronder personeelsgegevens – mogen of moeten worden verwerkt;
- Waar persoonsgegevens staan en worden verwerkt, wordt niet geïnventariseerd, waardoor het onduidelijk is wie er toegang tot hebben;
- Persoonsgegevens worden verstrekt aan derden zonder de toestemming van betrokkenen of zonder correcte bewerkersovereenkomsten;
- Een ICT-gebruiksreglement, privacyreglement en socialmedia-reglement ontbreken.
Ga eens na of dit ook voor jou geldt. Zo ja, maak iemand hier dan intern verantwoordelijk voor en roep eventueel hulp in. Denk aan je brancheorganisatie, jurist of IT-dienstverlener, zoals Campai.
Wat zijn de mogelijke gevolgen van het ontbreken van een ICT- en privacybeleid?
Heb je geen (volledig) ICT- en privacybeleid? Dan kun je hier behoorlijke gevolgen van ondervinden, zoals imago-, merk- of reputatieschade van je organisatie in het geval van een datalek. Maar denk ook aan juridische beperkingen als je corrigerend moet ingrijpen op arbeidsrechtelijk gebied. Enkele andere punten:
- Risico van een instabiel ICT-netwerk als gevolg van onbeperkt gebruik van bandbreedte, privéapplicaties, logs en data;
- Ongeorganiseerd gebruik van privéapparaten, waardoor er een hoger risico is op spam, malware, computervirussen en het gebruik van illegale software;
- Bij gebruik van illegale software krijg je te maken met een aansprakelijkheidstelling van de BSA.
Kortom, onderschat de gevolgen niet!
Kun je wel wat hulp gebruiken bij het opstellen van een goed ICT- en privacybeleid? Campai ontzorgt je hierin. Wij zorgen dat jouw IT-omgeving niet alleen technisch op orde is, maar ook dat het gebruik ervan voldoet aan de wettelijke regels. Meer weten? Neem gerust contact op voor een vrijblijvende sparringsessie!