Privacy & Persoonsgegevens

Sinds de AVG wetgeving van kracht is, zien we dat bedrijven privacy steeds serieuzer gaan nemen. Gelukkig maar. Want privacy in een wereld die alsmaar transparanter en meer ‘verbonden’ wordt, is niet vanzelfsprekend. Ook als je niks te verbergen hebt, hoeft niemand dat te weten. Maar we begrijpen ook dat privacy soms lastig is voor organisaties. Hoe voorkom je een datalek en een mega-boete van de Autoriteit Persoonsgegevens? En aan de andere kant: hoe hou je de vaart in je commercie als je overal vooraf toestemming voor nodig hebt? Een ISO 27001 certificering is een verstandige en populaire keuze. Maar zorgt u er wel voor dat de implementatie zo soepel mogelijk gaat en écht bijdraagt aan uw bedrijfsprocessen?

Maatschappelijk belang van Privacy

Met de komst van social media liggen veel persoonsgegevens voor het oprapen. Slimme tools schrapen het internet af en leggen verbanden tussen de verschillende platformen. Een foto van Facebook, een telefoonnummer van Instagram en een mailadres van LinkedIn… Gecombineerd met gegevens van uw website en misschien een event waar u ooit gesproken hebt. Alles bij elkaar genomen is er veel online te vinden en hackers bouwen hiermee vrij snel een profiel van iemand op. Om het nog maar niet te hebben over de twijfelachtige reputatie van social media op het gebied van privacy. We noemen bijvoorbeeld het Cambridge-Analytica schandaal en de privacyschending van snelgroeiende media als TikTok.

 

We hebben misschien ‘niets te verbergen’, maar dat is geredeneerd uit onze vooralsnog veilige en vredige West-Europese stoel. Stel dat er ook hier oorlog uitbreekt of een reeks terroristische aanslagen wordt beraamd, dan is het wel zo prettig als boosdoeners niet precies weten waar u bent, wie u kent, wat u gelooft en wat u communiceert.

AVG wetgeving

Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) officieel van toepassing in de hele EU. Dit is geen geheel nieuwe wet maar een uitbreiding op ‘De Wet bescherming persoonsgegevens (Wbp)’ die is komen te vervallen door de komst van de AVG. Met de AVG zijn de privacy rechten van betrokkenen versterkt en uitgebreid en hebben organisaties meer verantwoordelijkheden gekregen m.b.t de omgang met persoonsgegevens. Meer over de AVG leest u op de website van de Autoriteit Persoonsgegevens: 

Slimme apparaten en privacy

IoT devices zijn apparaten die via internet zijn verbonden aan online diensten en apps. Voor de hand liggende apparaten zijn smartphones, tablets, computers. Maar ook de categorie ‘wearables’ groeit snel. Smart Watches, Smart (AR/VR) Glasses en fitnessarmbanden bijvoorbeeld. In onze huizen hebben we misschien een cloud-based camerasysteem, domotica-installatie en een Google Home of Amazon Alexa speaker. Maar ook een wasmachine en een koelkast zijn al verbonden met het internet. Handig, als je op afstand je wasmachine wil aanzetten, zodat hij direct de droger in kan als je thuiskomt. Ook handig als de koelkast signaleert dat je melk op is en dit direct toevoegt aan je boodschappenlijstje van de supermarkt die je boodschappen bezorgt.

Alleen al op basis van bovenstaand voorbeeld, is via internet bekend wie je bent, waar je woont, of je thuis bent, in welk gedeelte van het huis je je bevindt, hoe fit je bent, wat je gps-locatie is (en wanneer je weer thuis bent, want de boodschappen worden bezorgd), wat je graag eet/drinkt, van welke muziek je houdt en oh ja, of de was al schoon is…

 

Al deze data is erg interessant voor cyber criminelen. Jouw gegevens kunnen bijvoorbeeld worden doorverkocht en misbruikt om (door vaak buitenlandse nummers) gebeld te worden of ‘phishing’ mails/sms te versturen, met als doel om je uiteindelijk op te lichten.

 

Wil je weten of jouw gegevens zijn buitgemaakt bij een (bekende) hack? Kijk dan eens op deze website: https://haveibeenpwned.com/.

Autoriteit Persoonsgegevens

Bescherming van persoonsgegevens

De Autoriteit Persoonsgegevens is de onafhankelijke toezichthouder in Nederland die de bescherming van persoonsgegevens bevordert en bewaakt. Zij adviseren wetgever, werkgever en consumenten over de rechten en plichten die komen kijken bij privacy. Daarbij komt dat zij geautoriseerd zijn om sancties op te leggen aan organisaties die zich niet aan de regels houden. We kennen allemaal de berichten van megaboetes die inmiddels zijn uitgedeeld.

 

De veiligheid van uw gegevens hangt af van de mate waarin de systemen van alle dienstverleners zijn beschermd tegen misbruik. De meeste professionele dienstverleners doen dit absoluut goed, maar niets is onhackbaar. Het risico om slachtoffer te worden van een hack-aanval blijft aanwezig. Mede vanwege steeds veranderende methodes die hackers gebruiken, in relatie tot de gebruikersvriendelijkheid van de applicaties en systemen die bedrijven willen optimaliseren. Het is voor veel organisaties een zoektocht naar de balans tussen gebruikersgemak en veiligheid.

 

Zeker nu we gewend zijn geraakt aan meer thuiswerken, zijn onze zakelijke en privélevens meer met elkaar verweven. Ook deze grensvervaging brengt risico’s met zich mee. Is iemands persoonlijke computer of netwerk wel goed beveiligd?

Certificering of snelle check?

Om de informatieveiligheid van systemen van deze dienstverleners op een consistentie manier te kunnen beoordelen, zijn er frameworks en normen ontwikkeld. De bekendste hiervan is de ISO 27001. Maar een certificeringstraject is voor sommige organisaties nog een stap te ver.

DPIA Check

Om erachter te komen hoe u ervoor staat op gebied van privacy en welke risico’s u organisatie loopt, als er wordt gekeken naar gegevensverwerking, is er een DPIA check een goede optie voor u. In een aantal gevallen is een DPIA zelfs verplicht. Wilt u weten of u een DPIA moet doen, laat het ons dan weten. Wij kunnen het eenvoudig voor u nakijken.

DPIA Check

Cyber Security Health Check

Een niveau verder gaat de Cyber Security Health Check. Wilt u gewoon snel weten hoe uw organisatie ervoor staat op gebied van cyber security (dus breder dan alleen privacy en gericht op onder meer beleid, functies, processen en meer), is dit een mogelijkheid. Afhankelijk van de uitkomsten van deze snelle Check kunt u gefundeerd besluiten om wel of niet over te gaan tot een compleet certificeringstraject. Als optie kan er gekozen worden om direct een verbeterplan erbij te leveren.

ISO 27001 certificering

Bent u toch toe aan een grondige verbetering van uw organisatie op het gebied van informatiebeveiliging / cyber security? Dan is een ISO 27001 certificeringstraject een goede stap. Steeds meer grote organisaties stellen het ISO 27001 certificaat als voorwaarde aan hun leveranciers, maar bovenal levert dit traject een verbeteringsslag in de kwaliteit van uw organisatie. U bent niet alleen geborgd tegen datalekken, maar we zien dat certificering een perfecte driver voor innovatie kan zijn in een organisatie en zorgt voor meer grip en overzicht in diverse bedrijfsprocessen. Wilt u hier meer over weten? Neem gerust contact met ons op.

Interim Privacy Officer

Privacy krijgt steeds vaker een prominentere positie binnen de organisatie. Het benoemen van een Functionaris Gegevensbeschermer (FG) of een Privacy Officer zie je steeds vaker binnen organisaties om privacy vraagstukken op te pakken.


Niet alle organisaties hebben echter een gespecialiseerde Privacy Officer in dienst en niet altijd heeft een medewerker tijd om dit onderdeel ‘er even bij te doen’. Daarbij komt er best veel bij kijken als u privacy serieus wilt nemen en de veiligheid van persoonsgegevens goed wilt borgen.

Daarom biedt Meridion de mogelijkheid om op basis van een vast aantal uren per week een Interim Privacy Officer in te schakelen. We kiezen samen de gewenste periode, aantal in te vullen uren of kaderen een project. Hiermee hebt u direct een kundige professional in huis.

 

 

De interim Privacy Officer die u bij Meridion vindt, is een expert maar beslist geen solist. Hij of zij kan altijd terugvallen op een team van deskundige collega’s, die zich graag verdiepen in uw specifieke processen.

AVG Training

U kunt bij ons terecht voor AVG awareness trainingen, waarin wij in een dagdeel uw organisatie bewust maken van de gevolgen van de privacy wetgeving voor uw organisatie. Met herkenbare cases worden medewerkers gewezen op hun verantwoordelijkheden. Hiermee willen we incidenten voorkomen die tot een datalek kunnen leiden en de impact van de mogelijke gevolgen beperken. Daarbij krijgt u een jaar lang toegang tot onze servicedesk met al uw privacy vragen en bij 10+ deelnemers kunt u een jaar lang gratis gebruik maken van onze AVG-tool.

Wit u nog een stap verder gaan? Dan kunt u gebruik maken van de AVG training. Hierbij leert u op welke wijze u de AVG goed kunt toepassen en borgen in uw organisatie. Met een overzichtelijk stappenplan, leren wij u een volledige implementatie uit te voeren. Doe uw voordeel met veel praktijkvoorbeelden en maak gebruik van de verschillende templates.

 

Wilt u deze trainingen regelmatig de revu laten passeren bij uw medewerkers? Vraag dan naar de mogelijkheden voor onze E-Learning modules.

Alle trainingen verzorgen wij naar keuze bij u op locatie, bij ons op locatie of remote! Op deze manier bent u niet tijd- en plaatsgebonden en kan de training gegeven worden op elk moment van de dag. Naast een dosis humor en plezier, staat compliance bij ons voorop. De eisen vanuit de betreffende norm worden altijd meegenomen. Waar mogelijk maken we de trainingen interactief om onze deelnemers gemotiveerd te houden en de impact van de training te vergroten. Bent u er klaar voor? Groei mee en daag ons uit!

Training AVG Privacy

Gerben den Dunnen

Gaat u liever direct in gesprek met een deskundige op het gebied van Privacy & Persoonsgegevens? Neem dan gerust contact op met Gerben den Dunnen, Commercieel directeur en Lead Consultant bij Meridion.