Privacy Day: Concreet aan de slag met privacy 

1. Actualiseer privacy-documentatie

Regelmatig zien we dat beleidsstukken verouderd zijn en niet periodiek worden geëvalueerd. Daarnaast zien we dat organisaties vaak hun verwerkings- en datalekregisters niet periodiek bijhouden. Controleer jaarlijks uw privacy-documenten en pas deze aan op de actuele wetgeving en situatie binnen de organisatie. Bovendien is het belangrijk om de verantwoordelijkheid voor het bijhouden van het verwerkings- en datalekregister concreet te beleggen binnen de organisatie.

2. Investeer in bewustwording van medewerkers

Menselijk handelen blijft één van de grootste oorzaken van datalekken. Wij zien dat bij organisaties die privacy‑ of security‑awarenessprogramma’s periodiek inzetten en duidelijk communiceren over de interne richtlijnen, herhaling en heldere communicatie het bewustzijn binnen de organisatie over deze onderwerpen zichtbaar verhogen. Het is daarom belangrijk om medewerkers regelmatig te trainen en om het kennisniveau van de medewerkers periodiek te toetsen. Daarnaast is het cruciaal om te borgen dat binnen de organisatie wordt toegezien op de naleving van de maatregelen door medewerkers.

3. Verbeter toegangs- en autorisatiebeheer

Om een datalek te voorkomen, is het belangrijk dat het toegangs- en autorisatiebeheer binnen de organisatie op orde is. Hierbij is het belangrijk om te zorgen dat medewerkers zo min mogelijk rechten krijgen toegekend in de systemen en dat multifactor-authenticatie (MFA) wordt toegepast voor alle applicaties waarin gevoelige gegevens worden verwerkt. Ook is het noodzakelijk om een proces in te richten waarbij periodiek alle toegekende rechten worden gecontroleerd, om te voorkomen dat medewerkers meer rechten hebben dan nodig is.

4. Minimaliseer data en bewaartermijnen

Het risico op een datalek neemt toe naarmate er meer data worden opgeslagen en langer worden bewaard. Wij zien in de praktijk dat organisaties niet altijd hebben nagedacht over of de bewaartermijn van persoonsgegevens past bij het doel van de verwerking van deze gegevens. We adviseren daarom om kritisch na te denken over de bewaartermijn van de persoonsgegevens binnen de organisatie. Vervolgens is het cruciaal om een proces in te richten waarbij gegevens worden verwijderd na afloop van de bewaartermijn. Ten slotte adviseren we om periodiek te beoordelen of alle opgeslagen data nog cruciaal is om langer te bewaren.

5. Houd grip op leveranciers

Organisaties worden steeds afhankelijker van externe partijen en Cloudleveranciers. Ook wordt het beheer van IT-omgevingen steeds vaker uitbesteed aan IT-partners. Dit resulteert erin dat externe partijen toegang hebben tot persoonsgegevens van de organisaties. Het is daarom belangrijk dat uw organisatie inzicht heeft in de beveiligingsmaatregelen bij externe partijen, zodat meer inzicht wordt verkregen in hoe de externe partij omgaat met de persoonsgegevens. Het is raadzaam om, in het geval van het inschakelen van een verwerker, een verwerkersovereenkomst af te sluiten met de andere partij en deze te controleren op de benodigde beveiligingsmaatregelen. Ook is het belangrijk om de verantwoordelijkheden te bespreken en vast te leggen. Ten slotte adviseren we om jaarlijks uw meest kritieke leveranciers te beoordelen, zodat risico’s op een juiste manier beheerst kunnen blijven worden en om te zorgen dat u blijft voldoen aan regelgeving en audits. Ook als een leverancier uw gegevens beheert, blijft uw organisatie verantwoordelijk.

Meer informatie

Bent u benieuwd hoe Van Oers u kan ondersteunen bij het verbeteren van uw privacy? Of bent u benieuwd waar uw organisatie staat op het gebied van privacy?  Neem dan contact op met één van onze specialisten via onderstaande button of per mail: digitalsolutions@vanoers.nl.