privacywetgeving en veiligheid het effect op de document levenscyclus
BLOG

Privacywetgeving en veiligheid! Het effect op de documentlevenscyclus

07 april 2016
Edwin Jongsma

Het internet heeft ons met elkaar verbonden. Maar de keerzijde hiervan is dat onze privacy meer en meer onder druk staat. Social media, smartphone camera’s, hackers, menselijke fouten, matige beveiliging en moedwillig lekken leiden regelmatig tot nieuwsitems waarbij de privacy van personen in het geding is. Een ziekenhuis dat de toegang tot patiëntengegevens niet goed heeft beveiligd, een advocaat wiens pleitnota een dag voor de rechtszaak op straat beland is en de troonrede die al jaren uitlekt vóór de derde dinsdag van september is aangebroken. Allemaal voorbeelden die recent het nieuws hebben gehaald. Bijna altijd speelt het document hierin de hoofdrol als fysieke- of digitale drager van de vertrouwelijke informatie. Hoe is het eigenlijk gesteld met de privacywetgeving en veiligheid gedurende de documentlevenscyclus?

De vier fases in de documentlevenscyclus; creatie, distributie, opslag en vernietiging.

Ieder document doorloopt deze levenscyclus. In de fase van creatie wordt het document geboren en ziet het ‘t levenslicht. Distributie geschiedt meer en meer digitaal. Van het ene device en/of gebruiker wordt het document verzonden naar het andere device, gebruiker of opslagmedium binnen hetzelfde netwerk of daarbuiten. En direct ontstaan de eerste uitdagingen rondom privacy en beveiliging:

  • Waar ga je het document opslaan en archiveren?
  • Is deze plek veilig?
  • Wie hebben nog meer toegang tot deze plek?
  • Met wie ga je het delen?
  • Bevat het document privacygevoelige informatie?
  • Wat mag ik wel en niet volgens de spelregels binnen mijn organisatie?
  • Wie is er verantwoordelijk voor de compliance binnen onze organisatie?
  • Hoe zorg ik ervoor dat het document op de juiste manier en op tijd vernietigd wordt?

Allemaal vragen die velen van ons de wenkbrauwen zouden doen fronsen als deze aan je gesteld worden. En dat is niet zo vreemd. Want 68% van de organisaties heeft geen zicht op datastromen naar derden (zoals leveranciers of klanten). En slechts 13% van de organisaties documenteert alle verwerkingen van persoonsgegevens (bron: PwC Privacy Governance onderzoek 2016). Voldoet uw organisatie al aan de nieuwste privacywetgeving van 2016 rondom privacy en datalekken?

pwc privacy governance onderzoek 1
Bron: PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties

Welke boetes staan er op het niet nakomen van de privacywetgeving?

Voldoe je niet aan de privacywetgeving, dan loop je het risico torenhoge boetes te worden opgelegd. Waarom? Sinds januari 2016 is er nieuwe wetgeving waarin de  Meldplicht Datalekken een grote rol speelt.  In deze nieuwe wetgeving is het verwerken van persoonsgegevens aangescherpt.  De Wet bescherming persoonsgegevens (Wbp) wordt getoetst door de Autoriteit Persoonsgegevens. Deze autoriteit mag boetes uitdelen tot maar liefst 820.000 euro. 

Daarnaast hebben organisaties binnen de Europese Unie sinds kort te maken met de Algemene Verordening Gegevensbescherming (AVG). De AVG is ook gericht op het beschermen van persoonsgegevens binnen organisaties en sterk verbonden aan de Meldplicht Datalekken. De AVG verplicht onder andere tot het opstellen en bijhouden van een gedetailleerde beschrijving van de persoonsgegevens. Boetes kunnen oplopen tot 20.000.000 euro of vier procent van de wereldwijde jaaromzet. Speciaal voor zorginstellingen hebben wij over deze privacywetgeving een webinar opgenomen: Uw zorginstelling AVG-proof.

Wil jij weten wat de verplichtingen zijn voor het melden en het beheersen van een datalek aldus de nieuwe privacywetgeving? En wat je moet regelen rondom de veiligheid van documenten binnen je organisatie, om het risico op een boete te elimineren? Lees dan mijn volgende blog over de Wet bescherming persoonsgegevens en de meldplicht datalekken.

Een gewaarschuwd mens telt voor twee…

Edwin Jongsma Xtandit
Edwin Jongsma
Commercieel Directeur