Meldplicht datalekken

Blog 3: Stap 1 - Inventarisatie

Hoe staan we ervoor?

Door Frank Slager, Bid & Tender Manager en Functionaris Gegevensbescherming Xtandit

Om te weten te komen waar de risico’s zich bevinden in onze organisatie ben ik gestart met het inventariseren van de huidige situatie. Ik wilde precies weten welke persoonsgegevens en commerciële bedrijfsgegevens van klanten (en medewerkers) door wie te zien zijn. Hiervoor heb ik de belangrijkste stakeholders in de organisatie benaderd (directie en afdelingsmanagers).

Vragen voor de inventarisatie:

  • Welke persoonsgegevens krijg je te zien?
  • Waarvoor heb je deze gegevens nodig?
  • Hoe verkrijg je deze gegevens? (van wie, welke afdeling, via welk kanaal)
  • Waar worden deze gegevens opgeslagen? (in welke systemen)
  • Hoe lang worden deze gegevens bewaard?
  • Worden deze gegevens geanonimiseerd? En zo nee, welke gegevens zouden wel geanonimiseerd kunnen worden?

Aandachtspunten

Sommige zaken blijken na inventarisatie uitstekend op orde, op andere punten is nog veel winst te behalen. Een aantal zaken vielen direct op tijdens het invullen van de inventarisaties. Een kleine analyse krijg je er nu dus al meteen bij:

Gegevens bewaren

Ik merkte al direct dat we niet van alle gegevens helder voor ogen hebben welke bewaartermijn er voor geldt, en dat we geen opschoningsbeleid hebben. Gegevens blijven dus langer dan noodzakelijk (bijv. wettelijke bewaarplicht van personeelsgegevens: 5 jaar, loonadministratie: 7 jaar) in het systeem.

Opslag van gegevens

Onze afdelingen maken gebruik van verschillende informatiesystemen waarin data opgeslagen is. Ik heb me nooit gerealiseerd dat we met zo’n groot aantal informatiesystemen werken en de informatie zo versnipperd opgeslagen is. Bijvoorbeeld: dezelfde orderdocumenten staan in Outlook, op verschillende schijven van medewerkers en wordt daarnaast opgeslagen in een front office- en backoffice applicatie. Doordat de informatie versnipperd en op meerdere locaties staat opgeslagen is het risico op een datalek groter en het vergt daarnaast ook nog eens kostbare opslagruimte. Kopieën van ID-bewijzen worden zonder aanpassingen rondgemaild en ontvangen.

Gegevens van klanten

Bij een aantal partners ontbreken de bewerkersovereenkomsten en, omdat Xtandit verantwoordelijk is voor de persoonsgegevens van haar klanten is het van groot belang dat alle bewerkers van deze persoonsgegevens hier ook zorgvuldig mee omgaan. Dit is een belangrijk aandachtspunt bij  van ons GDPR-ready project.

Vergeet de papieren gegevens niet

Een belangrijk onderwerp dat we nog niet hebben besproken zijn de papieren documenten. Naast digitale documenten wordt er natuurlijk ook nog steeds gebruik gemaakt van papieren documenten. Papieren documenten kunnen net zo goed datalekken veroorzaken. Denk bijvoorbeeld aan vertrouwelijke papieren die in de papierbak belanden, in plaats van met de shredder vernietigd worden. Een collega of schoonmaker zou na werktijd documenten uit de prullenbak kunnen halen. Of denk aan kasten die niet goed afgesloten kunnen worden en vertrouwelijke prints die uit de printer komen terwijl er een monteur bezig is met de printer.

Het succes van het project valt of staat met een stevige voorbereiding en inventarisatie. Besteed hier dan ook voldoende aandacht aan en gebruik onze inventarisatielijst. Inventarisatie gedaan? Dan is het tijd voor de risicoanalyse; lees er alles over in de volgende blog!

Download het gratis starterspakket Dataveiligheid: Maak jouw organisatie GDPR-ready

Benieuwd naar alle stappen van dit project? We hebben praktische tips, handige templates én het gehele stappenplan vanuit dit traject gebundeld in het starterspakket ‘Maak jouw organisatie GDPR-ready’. Download nu het starterspakket en ga zelf ook aan de slag!

Download het gratis starterspakket
Frank Slager
Bids & Proposal Manager
06-43362280
Frank Slager Xtandit