Artikel bewaren

Je hebt een account nodig om artikelen in je profiel op te slaan

Login of Maak een account aan
Reacties0

Aandacht voor privacy

Er is steeds meer aandacht voor de bescherming van privacygevoelige informatie. Ook in de kinderopvang beschikt men over gevoelige informatie van klanten. Is de beveiliging daarvan wel goed geregeld?
Aandacht voor privacy

Het maatschappelijke vraagstuk over (de veiligheid van) onze digitale identiteit blijft actueel en zal vermoedelijk niet snel van de agenda verdwijnen. Organisaties die privacygevoelige gegevens verwerken, dus ook kinderopvangorganisaties, krijgen de schijnwerpers op zich gericht. Uw klanten worden, gevoed door negatieve of in elk geval prikkelende berichten in de media, steeds kritischer. Zijn hun gegevens wel veilig bij u?

Gaat er iets fout op het gebied van informatiebeveiliging, dan is de ophef vaak groot. Naast het beschadigde vertrouwen van het ‘slachtoffer’, kan uw organisatie flinke schade oplopen. Dat geldt vooral als duidelijk wordt dat u uw verantwoordelijkheden niet genomen hebt, dus nalatig of verwijtbaar bent geweest. Wat die verantwoordelijkheden zijn, is voor een groot deel wettelijk vastgelegd. Hieraan voldoen noemen we compliance. En ook bij de controlerende overheid is de aandacht hiervoor sterk

toegenomen.

Aantoonbaarheid

Voldoen aan alle wettelijke verplichtingen is één ding, maar jegens uw verschillende stakeholders zult u dit ook steeds vaker moeten bewijzen. Uw klanten nemen op een gegeven moment geen genoegen met uw verzekering dat u de informatiebeveiliging allemaal goed geregeld hebt. Bewijs het maar eens!

De verantwoordelijkheid om dit bewijs te leveren wordt volledig bij u gelegd. Maar waar dient u dan precies aan te voldoen? Wat wordt er van u verwacht? Het is geen eenvoudige opgave om daar vorm aan te geven. Ten eerste dient u op basis van de aard van uw activiteiten te inventariseren wat u moet doen en wat u beloofd hebt om te doen. Hierbij hebt u niet alleen te maken met wet- en regelgeving, maar ook met contractuele afspraken. Op het moment dat u dit in kaart hebt gebracht, komt de vraag hoe u dit in uw organisatie gaat implementeren en wat passend is voor uw organisatie. Deze maatregelen dienen aantoonbaar periodiek of continu getoetst te worden en de bevindingen moeten gedocumenteerd worden. Daarmee bent u nog niet klaar. Niet alle risico’s kunnen namelijk weggenomen worden. U dient ook na te denken over incidentmanagement.

Zorgvuldig

Even een praktisch voorbeeld. Een moeder meldt bij u haar kind aan. Ze vult daarvoor een formulier in met allerlei persoonlijke gegevens. De vraag is wat er met dit formulier allemaal gebeurt in uw organisatie. Hoe zorgvuldig wordt hiermee omgegaan? Blijft het op een bureau liggen of gaat het meteen in een ordner? Of neemt iemand het in een tas mee naar huis? Wie zouden er allemaal bij dit formulier kunnen komen? Als u zo zicht krijgt op dit proces, dan zult u ook zien dat u alleen door bepaalde maatregelen de zorgvuldige omgang met deze gegevens kan garanderen. Dat kan bijvoorbeeld door documenten te digitaliseren en daarna te vernietigen, of als standaardprocedure het formulier in een afgesloten kast op te bergen nadat het verwerkt is. Neemt u maatregelen, dan zullen ook uw collega’s zich bewust moeten zijn van de noodzaak van deze maatregel. Door bijvoorbeeld periodiek met een interne audit te controleren of iedereen zich aan de maatregel houdt, kunt u dit proces ook borgen.

Enkele tips

–        Geef documenten een classificatie mee. Hierdoor is een vertrouwelijk document ook als zodanig te herkennen.
–        Zorg dat papieren documenten alleen toegankelijk zijn voor degene die hiervoor bevoegd is. Documenten in goed af te sluiten kasten bewaren en bureaus schoonhouden (de bekende clean desk policy) zijn hiervoor praktische maatregelen.
–        De beveiliging van uw automatisering dient uiteraard op orde te zijn, maar vergeet de menselijke schakel niet! Als iemand zijn of haar werkplek verlaat, dan dient de werksessie vergrendeld te worden. Laat u de sessie openstaan, dan hebben anderen de mogelijkheid om met gebruikmaking van uw systeemrechten aan gegevens te komen.

U zult begrijpen dat als u alles op een georganiseerde manier wilt kunnen beheersen, uw organisatie een methode, een structuur en een systeem nodig heeft. Dat vergt veel aandacht, energie en vooral ook tijd. Gaat het hierbij alleen over technische maatregelen? Nee, overal in de organisatie waar mensen contact hebben met gevoelige gegevens dient er aandacht te zijn voor informatiebeveiliging. Dat gaat dus aanzienlijk verder dan de ICT.

De kansen

Dit klinkt als een onbegonnen verhaal. Maar als u het onderwerp blijvende aandacht geeft, dan groeit uw hele organisatie hierin en wordt informatiebeveiliging een onderdeel van uw bedrijfscultuur. Een kritische succesfactor is dan ook hoe het management dit benadert. Daarbij helpt het beslist om compliance niet als noodzakelijk kwaad te zien, maar juist als een kans om je te onderscheiden. Er is namelijk steeds meer vraag naar veiligheid en zekerheid. De privacy van mensen staat op het spel. Wat een verschil zou u kunnen maken als u met uw dienstverlening die zekerheid kunt bieden, als u daarin een stap vóór bent op uw concurrenten en het thema bij klanten neerlegt vóórdat zij u kritische vragen gaan stellen! Ook al gaat het maar om een beperkte hoeveelheid gegevens, u maakt dan wel het verschil. Dat creëert vertrouwen. En voor uw organisatie vormt dit een extra motivatie om hiermee bezig te zijn.

Krijgt informatiebeveiliging niet de juiste aandacht, dan loopt u het risico achter de feiten aan te lopen en daarmee het vertrouwen van ouders te schaden. Zet u in op de kansen, dan kan dat een flinke stimulans zijn voor de doorontwikkeling van uw organisatie!

Ben Lankhaar is commercieel directeur van VPO: een IT-dienstverlener met veel klanten die privacygevoelige gegevens verwerken. Compliance is daarom bij VPO aan de orde van de dag, zowel in techniek als in de praktische ondersteuning.

Foto: Nationale Beeldbank

Foto’s

Hoe verwerkt u foto’s van kinderen? Bij menige organisatie staan foto’s van kinderen op onbeveiligde USB-sticks, worden op een privé-pc gedownload, staan op het werk op een pc waar iedereen bij kan of worden ergens in ‘de cloud’ beschikbaar gemaakt. Ook hier is de vraag welke wettelijke kaders van toepassing zijn. Denk hierbij ook aan het portretrecht. Hiernaast is het ook heel goed om na te denken over de vraag wat ouders hiervan vinden.

Wetgeving

Met betrekking tot informatiebeveiliging en ICT speelt de Wet bescherming persoonsgegevens (Wpb) een belangrijke rol. (Zie www.wetten.overheid.nl.) Enkele belangrijke artikelen:
Artikel 6: Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.
Artikel 7: Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld.
Artikel 13: De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

Geef je reactie

Om te kunnen reageren moet je ingelogd zijn. Heb je nog geen account, maak dan hieronder een account aan. Lees ook de spelregels.