Meldplicht datalekken

Blog 4: Stap 2 - Risicoanalyse

Wat zijn de huidige risico’s?

Door Frank Slager, Bid & Tender Manager en Functionaris Gegevensbescherming Xtandit

Het grootste risico dat wij op dit moment lopen als er een datalek plaats zou vinden, is dat het niet snel genoeg duidelijk is waar het lek vandaan komt, en wie daar verantwoordelijk voor is. Het zal veel tijd kosten om het lek boven water te halen en wellicht niet op tijd lukken, waardoor wij het risico lopen dat een klant of medewerker schade oploopt en wij mogelijk een boete krijgen. Tijd voor verandering dus. De inventarisatie (zie vorig blog) is een goed vertrekpunt voor een risicoanalyse.

Resultaat inventarisatie

Uit de inventarisatie blijkt dat de informatie versnipperd is opgeslagen in verschillende systemen, dat medewerkers niet altijd weten hoe ze om moeten gaan met persoonsgegevens en dat er niet voldoende beleid is voor het bewaren en opschonen van persoonsgegevens. Het anonimiseren van ID-bewijzen wordt nog niet of beperkt toegepast. Ook zie ik dat we nog niet met alle partners en klanten bewerkingsovereenkomsten op orde hebben.

Papieren gegevens

In de praktijk blijkt dat ook de papieren gegevens niet altijd veilig opgeborgen worden. Zo gaan 's avonds niet altijd alle kasten op slot ’s en worden niet alle vertrouwelijk papieren direct in de shredder gedaan in plaats van in de papierbak. Hier bestaat dus een risico op een datalek; tijd om daar verandering in te brengen.

Het vervolg

Het is voor ons belangrijk om te gaan bepalen welke verantwoordelijkheden bij wie liggen, en welk beleid we gaan voeren ten aanzien van bijvoorbeeld het opschonen van persoonsgegevens. Ook gaan we kijken welke persoonsgegevens geanonimiseerd verwerkt kunnen worden en hoe we in kaart brengen welke gegevens we in welk systeem onderbrengen.

Bewustwording

Maar voordat we dit gaan doen vind ik het belangrijk om de opgedane kennis te delen met de teammanagers. Ik merk dat het kennisniveau over de GDPR wetgeving in onze organisatie nog laag is en dat het nog weinig prioriteit heeft. Om ervoor te zorgen dat alle medewerkers zich realiseren dat zij degenen zijn die verantwoordelijk zijn voor de persoonsgegevens, heb ik alle afdelingshoofden een update gestuurd met als doel bewustwording en gelijk het delen van 3 quick wins.

Dit zal regelmatig herhaald moeten worden, om het bewustzijn op peil te houden en het belang van dataveiligheid voor onze klanten en de hele organisatie voor iedereen duidelijk te hebben. De grootste kans op een datalek komt door onzorgvuldig handelen van mensen; niet door opzet.

In het volgende blog ga ik aan de slag met de communicatie met de medewerkers!

Download het gratis starterspakket Dataveiligheid: Maak jouw organisatie GDPR-ready

Benieuwd naar alle stappen van dit project? We hebben praktische tips, handige templates én het gehele stappenplan vanuit dit traject gebundeld in het starterspakket ‘Maak jouw organisatie GDPR-ready’. Download nu het starterspakket en ga zelf ook aan de slag!

Download het gratis starterspakket
Frank Slager
Bids & Proposal Manager
06-43362280
Frank Slager Xtandit