De beveiliging persoonsgegevens: wat moet je doen?

28 mei 2013, 11:29

Dit wil het CBP van je (en jij wilt het ook)

Het College Bescherming Persoonsgegevens (CBP) heeft in maart 2013 een verduidelijking van het bestaande richtsnoer uitgegeven. Het betreft beveiliging van persoonsgegevens ter voorkoming van hacken of verloren gaan van gegevens. Het document CBP Richtsnoeren, Beveiliging van Persoonsgegevens (pdf) is een 44 pagina’s tellend, uitvoerig en pittig document. Daar zit je als (CRM-)marketeer, ICT’er of ondernemer niet op te wachten. Gelukkig heb ik voor jou een samenvatting geschreven.

CBP eist adequate beveiliging

Organisaties moeten alles in het werk stellen om persoonsgegevens adequaat te beveiligen, zodat deze niet verloren gaan of in verkeerde handen vallen. Het CBP eist dat verantwoordelijken, degenen die persoonsgegevens verwerken, passende technische en organisatorische maatregelen treffen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking.

Plan-do-check-act-methode

Bedrijven die persoonsgegevens verwerken moeten de plan-do-check-act-methode (PDCA) hanteren. Dit betreft de volgende acties:

  1. Inventariseer welke risico’s er verbonden zijn aan de wijze waarop de persoonsgegevens verwerkt worden, in combinatie met het soort persoonsgegevens dat verwerkt wordt.

  2. Aan de hand van deze risicoanalyse bepaal je welk beveiligingsniveau nodig is om de persoonsgegevens te beveiligen.

  3. Gebruik voor beveiliging de algemeen geaccepteerde beveiligingsstandaarden.

  4. Controleer of de gekozen maatregelen zijn genomen en worden nageleefd.

  5. Volg technologische ontwikkelingen continu om de beveiliging up to date te houden.

Uitbesteding werkzaamheden

Vergeet niet alle partners/databewerkers, die in jouw opdracht persoonsgegevens verwerken, hierin mee te nemen. Ook voor deze partners geldt dat je een risicoanalyse maakt en controleert of de gemaakte afspraken worden nageleefd.

Het CBP controleert

Stel dat het misgaat, dan controleert het CBP of er maatregelen zijn getroffen die passen bij uw soort dienstverlening en de omvang van uw organisatie. Daarnaast gaat het CBP na of u gebruik heeft gemaakt van algemeen geaccepteerde beveiligingsstandaarden. Het ligt voor de hand dat zij ook uw werkmethodieken en processen controleren.

ISO kan je ondersteuning bieden

Er zijn twee ISO-normen die je kunnen helpen om de juiste stappen te nemen naar een beveiligde organisatie. De eerste is de veel voorkomende ISO 9001-norm, die is geënt op kwaliteit in de breedste zin van het woord. De norm helpt organisaties na te denken over kritische processen en de bedrijfsvoering naar het gewenste beheersingsniveau te tillen.

De ISO 27001-norm richt zich op informatiebeveiliging in de breedste zin van het woord. Centraal in deze norm staan de beschikbaarheid, integriteit en vertrouwelijkheid van data. De omvang van deze norm wordt door kleinere organisaties vaak als te uitgebreid ervaren. Voor kleinere, op data gerichte bedrijven, is een combinatie van de ISO 9001-norm met de ISO 27002-richtlijn (dus geen certificering!) een geschikte oplossing.

Zie adequate verwerking van persoonsgegevens als een kans

Als je de verwerking van de persoonsgegevens op orde hebt, wordt de kans dat het mis gaat uitermate gering en blijft je klant zich prettig bij je voelen. Hiermee heb je een voorsprong op je concurrent, waar het wel mis kan gaan. Wist je dat bedrijven die outperformen in datamanagement tot wel 66% beter performen in kostenbeheersing en in omzetvergroting?

Jan Hendrik Fleury
Director bij Crystalloids

Categorie
Tags

Marketingfacts. Elke dag vers. Mis niks!