Privacy & Persoonsgegevens

Home » Consultancy » Privacy en Persoonsgegevens

Jouw AVG en privacy in orde

Sinds de AVG wetgeving van kracht is, zien we dat bedrijven privacy steeds serieuzer gaan nemen. Gelukkig maar. Want privacy in een wereld die alsmaar transparanter en meer ‘verbonden’ wordt, is niet vanzelfsprekend. Ook als je niks te verbergen hebt, hoeft niemand dat te weten. Maar we begrijpen ook dat privacy soms lastig is voor organisaties. Hoe voorkom je een datalek en een mega-boete van de Autoriteit Persoonsgegevens? En aan de andere kant: hoe hou je de vaart in je commercie als je overal vooraf toestemming voor nodig hebt? Een ISO 27001 certificering is een verstandige en populaire keuze. Maar zorg je er wel voor dat de implementatie zo soepel mogelijk gaat en écht bijdraagt aan jouw bedrijfsprocessen?

Maatschappelijk belang van Privacy

Met de komst van social media liggen veel persoonsgegevens voor het oprapen. Slimme tools schrapen het internet af en leggen verbanden tussen de verschillende platformen. Een foto van Facebook, een telefoonnummer van Instagram en een mailadres van LinkedIn… Gecombineerd met gegevens van je website en misschien een event waar je ooit gesproken hebt. Alles bij elkaar genomen is er veel online te vinden en hackers bouwen hiermee vrij snel een profiel van iemand op. Om het nog maar niet te hebben over de twijfelachtige reputatie van social media op het gebied van privacy. We noemen bijvoorbeeld het Cambridge-Analytica schandaal en de privacyschending van snelgroeiende media als TikTok.

We hebben misschien ‘niets te verbergen’, maar dat is geredeneerd uit onze vooralsnog veilige en vredige West-Europese stoel. Stel dat er ook hier oorlog uitbreekt of een reeks terroristische aanslagen wordt beraamd, dan is het wel zo prettig als boosdoeners niet precies weten waar je bent, wie je kent, wat je gelooft en wat je communiceert.

AVG wetgeving

Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) officieel van toepassing in de hele EU. Dit is geen geheel nieuwe wet maar een uitbreiding op ‘De Wet bescherming persoonsgegevens (Wbp)’ die is komen te vervallen door de komst van de AVG. Met de AVG zijn de privacy rechten van betrokkenen versterkt en uitgebreid en hebben organisaties meer verantwoordelijkheden gekregen m.b.t de omgang met persoonsgegevens. Meer over de AVG lees je op de website van de Autoriteit Persoonsgegevens:

Slimme apparaten en privacy

IoT devices zijn apparaten die via internet zijn verbonden aan online diensten en apps. Voor de hand liggende apparaten zijn smartphones, tablets, computers. Maar ook de categorie ‘wearables’ groeit snel. Smart Watches, Smart (AR/VR) Glasses en fitnessarmbanden bijvoorbeeld. In onze huizen hebben we misschien een cloud-based camerasysteem, domotica-installatie en een Google Home of Amazon Alexa speaker. Maar ook een wasmachine en een koelkast zijn al verbonden met het internet. Handig, als je op afstand je wasmachine wil aanzetten, zodat hij direct de droger in kan als je thuiskomt. Ook handig als de koelkast signaleert dat je melk op is en dit direct toevoegt aan je boodschappenlijstje van de supermarkt die je boodschappen bezorgt.

Alleen al op basis van bovenstaand voorbeeld, is via internet bekend wie je bent, waar je woont, of je thuis bent, in welk gedeelte van het huis je je bevindt, hoe fit je bent, wat je gps-locatie is (en wanneer je weer thuis bent, want de boodschappen worden bezorgd), wat je graag eet/drinkt, van welke muziek je houdt en oh ja, of de was al schoon is…

Al deze data is erg interessant voor cyber criminelen. Jouw gegevens kunnen bijvoorbeeld worden doorverkocht en misbruikt om (door vaak buitenlandse nummers) gebeld te worden of ‘phishing’ mails/sms te versturen, met als doel om je uiteindelijk op te lichten.

Wil je weten of jouw gegevens zijn buitgemaakt bij een (bekende) hack? Kijk dan eens op deze website: https://haveibeenpwned.com/.

Bescherming van persoonsgegevens

De Autoriteit Persoonsgegevens is de onafhankelijke toezichthouder in Nederland die de bescherming van persoonsgegevens bevordert en bewaakt. Zij adviseren wetgever, werkgever en consumenten over de rechten en plichten die komen kijken bij privacy. Daarbij komt dat zij geautoriseerd zijn om sancties op te leggen aan organisaties die zich niet aan de regels houden. We kennen allemaal de berichten van megaboetes die inmiddels zijn uitgedeeld.

De veiligheid van uw gegevens hangt af van de mate waarin de systemen van alle dienstverleners zijn beschermd tegen misbruik. De meeste professionele dienstverleners doen dit absoluut goed, maar niets is onhackbaar. Het risico om slachtoffer te worden van een hack-aanval blijft aanwezig. Mede vanwege steeds veranderende methodes die hackers gebruiken, in relatie tot de gebruikersvriendelijkheid van de applicaties en systemen die bedrijven willen optimaliseren. Het is voor veel organisaties een zoektocht naar de balans tussen gebruikersgemak en veiligheid.

Zeker nu we gewend zijn geraakt aan meer thuiswerken, zijn onze zakelijke en privélevens meer met elkaar verweven. Ook deze grensvervaging brengt risico’s met zich mee. Is iemands persoonlijke computer of netwerk wel goed beveiligd?

Certificering of snelle check?

Om de informatieveiligheid van systemen van deze dienstverleners op een consistentie manier te kunnen beoordelen, zijn er frameworks en normen ontwikkeld. De bekendste hiervan is de ISO 27001. Maar een certificeringstraject is voor sommige organisaties nog een stap te ver.

DPIA Check

Om erachter te komen hoe je ervoor staat op gebied van privacy en welke risico’s je organisatie loopt, als er wordt gekeken naar gegevensverwerking, is een DPIA check een goede optie voor jou. In een aantal gevallen is een DPIA zelfs verplicht. Wil je weten of jij een DPIA moet doen, laat het ons dan weten. Wij kunnen het eenvoudig voor je nakijken.

Cyber Security Check

Een niveau verder gaat de Cyber Security Check. Wil je gewoon snel weten hoe jouw organisatie ervoor staat op gebied van cyber security (dus breder dan alleen privacy en gericht op onder meer beleid, functies, processen en meer), is dit een mogelijkheid. Afhankelijk van de uitkomsten van deze snelle Check kun je gefundeerd besluiten om wel of niet over te gaan tot een compleet certificeringstraject. Als optie kan er gekozen worden om direct een verbeterplan erbij te leveren.

ISO 27001 certificering

Ben je toch toe aan een grondige verbetering van jouw organisatie op het gebied van informatiebeveiliging / cyber security? Dan is een ISO 27001 certificeringstraject een goede stap. Steeds meer grote organisaties stellen het ISO 27001 certificaat als voorwaarde aan hun leveranciers, maar bovenal levert dit traject een verbeteringsslag in de kwaliteit van jouw organisatie. je bent niet alleen geborgd tegen datalekken, maar we zien dat certificering een perfecte driver voor innovatie kan zijn in een organisatie en zorgt voor meer grip en overzicht in diverse bedrijfsprocessen.

Wil je hier meer over weten? Neem gerust contact met ons op.

Interim Privacy Officer

Privacy krijgt steeds vaker een prominentere positie binnen de organisatie. Het benoemen van een Functionaris Gegevensbeschermer (FG) of een Privacy Officer zie je steeds vaker binnen organisaties om privacyvraagstukken op te pakken.

Niet alle organisaties hebben echter een gespecialiseerde Privacy Officer in dienst en niet altijd heeft een medewerker tijd om dit onderdeel ‘er even bij te doen’. Daarbij komt er best veel bij kijken als je privacy serieus wilt nemen en de veiligheid van persoonsgegevens goed wilt borgen.

Daarom biedt Newmorn’ de mogelijkheid om op basis van een vast aantal uren per week een Interim Privacy Officer in te schakelen. We kiezen samen de gewenste periode, aantal in te vullen uren of kaderen een project. Hiermee heb je direct een kundige professional in huis.

De interim Privacy Officer die je bij Newmorn’ vindt, is een expert maar beslist geen solist. Hij of zij kan altijd terugvallen op een team van deskundige collega’s, die zich graag verdiepen in jouw specifieke processen.

Jordi van Duyne

Ga je liever direct in gesprek met een deskundige op het gebied van Privacy en Persoonsgegevens? Neem dan gerust contact op met Jordi van Duyne, Consultant en Auditor bij Newmorn’.