Alle berichten

Even een gewetensvraag: houd jij je altijd aan de regels?

Als consultant mag je een kijkje in de keuken nemen van jouw opdrachtgever. Dit is niet alleen erg leuk, maar ook leerzaam. Zeker als je in de keuken van meerdere opdrachtgevers hebt mogen kijken. Je ziet verschillen in o.a. cultuur, producten en klantgroepen. Er is één ding dat bijna nooit verschilt en dat is de aandacht voor de verwerking van persoonsgegevens/klantgegevens, datalekken en incidenten en beveiliging. Dit heeft alles te maken met de Wet Bescherming Persoonsgegevens (WBP), die overigens vervangen is door de Algemene Verordening Gegevensbescherming (AVG). De AVG zorgt ervoor dat vanaf 25 mei 2018, binnen de Europese Unie dezelfde regels en verantwoordelijkheden gelden, voor instellingen, bedrijven en overheden, met uitzondering van politie en justitie. Hier zijn aparte richtlijnen voor opgesteld.

Het zorgvuldig omgaan met gegevens en data is belangrijk en niet alleen omdat:

  • torenhoge boetes staan op het onzorgvuldig omgaan met persoonsgegevens;
  • als instelling, bedrijf of overheid niet de voorpagina van een landelijk dagblad wil halen;
  • je het vertrouwen van je klanten niet wil beschamen;

maar misschien ook wel, omdat jij ook niet zou willen dat jouw gegevens zomaar op straat komen te liggen of gebruikt worden voor zaken waar je geen toestemming voor hebt gegeven.

En toch…toch zie ik vaak om mij heen, in bedrijven, collega’s die vaak onbewust het toch niet zo nauw nemen met de interne regels als het gaat om data, toegang tot gegevens en het verwerken van gegevens. En ik zeg heel bewust, onbewust, omdat de gedachte achter dit handelen, vaak juist wel heel klantgericht is. Hieronder een paar voorbeelden van zaken die je nooit zou moeten doen, maar die vaak wel voorkomen:

  • Toegangscodes uitlenen

Hoe vaak komt het niet voor dat, zeker bij nieuwe medewerkers, nog niet alle toegang geregeld is in de eerste werkweek. Je hebt misschien de eerste dag mee kunnen kijken met een collega. De tweede dag kijk je mogelijk ook nog mee, maar de 3e dag wil je echt aan de slag. Hoe eenvoudig is het niet om op het account van iemand anders, dat mogelijk toegang heeft tot veel meer gegevens dan voor jouw functie noodzakelijk is, in te loggen en te beginnen….want de werkvoorraad loopt al aardig op, en de SLA’s staan onder druk….

  • In the Cloud…

Veel bedrijven werken tegenwoordig met Cloud- of SharePoint-oplossingen. Tegelijkertijd heeft men ook beleid over het opslaan van persoonsgegevens. Dit mag vaak alleen op een beveiligde omgeving en niet in de Cloud. Voor het opslaan in de Cloud moet je als bedrijf heldere afspraken vastleggen in een bewerkersovereenkomst, om te waarborgen dat de data conform wetgeving wordt opgeslagen en gebruikt, en dan hebben we het niet eens over een Cloud services buiten de EU. Maar als medewerker op de werkvloer denk je niet altijd aan deze regels en mogelijke gevolgen, als jij net binnen de SharePoint van jouw afdeling een verbeteringsvoorstel doet naar aanleiding van meerdere klachten, waarbij je de BSN-nummers en de klachten ook uploadt.

  • Documenten opslaan op een onbeveiligde omgeving. Veel organisaties werken alleen nog maar met netwerkschijven, waar je zaken mag opslaan. Dit omdat deze netwerkschijven goed beveiligd zijn. Maar waar worden jouw documenten opgeslagen als je ze downloadt vanuit je email? Staat je persoonlijke schijf ook in een beveiligde omgeving, of is dit je c: \schijf of bijvoorbeeld je laptop die nou net alleen met jouw wachtwoord is beveiligd, maar niet met de extra beveiligingen die wel op de netwerkschijven zitten. En hoe zit het met je bureaublad? Is dit net als de netwerkschijven ook zo goed beveiligd of ook maar alleen met één wachtwoord?
  • De USB-stick. Het gebeurt minder vaak dan vroeger, maar nog met enige regelmaat lezen we in de krant berichten als “USB-stick verloren in de trein, duizenden gegevens op straat”Laten we wel wezen: dit kan iedereen gebeuren als je een USB-stick meeneemt, maar het is ook vrij simpel te voorkomen door gebruik te maken van een beveiligde uitwisselingsomgeving. Één waarin je vanuit een laptop of pc kan inloggen middels een beveiligde omgeving en deze gegevens kan importeren. Zorg er dan wel weer voor dat je deze gegevens opslaat op een beveiligde schijf.
  • Thuis even doorwerken. Wij weten allemaal wel dat het in ons vakgebied druk kan zijn. En hoe fijn is het dan soms niet om even na kantoortijd een aantal zaken af te maken. Dat is geen probleem als het allemaal digitaal via een beveiligde omgeving gaat, maar hoe zit het met fysieke documenten die meegaan in een tas op weg naar huis en morgen weer mee worden genomen naar kantoor om vervolgens te archiveren of te vernietigen…..Je zou het maar kwijtraken of in de trein lezen waardoor mensen mee kunnen lezen, of op weg naar huis even moeten tanken en je tas wordt uit de auto gehaald…Het zijn scenario’s die niet vaak gebeuren, maar het kán.
  • We delen allemaal informatie: in de pauze, op de gang, tijdens de borrel… Vaak is dit prima, maar soms zit er ook info bij die niet gedeeld mag worden buiten de muren van de opdrachtgever.

Kortom, genoeg mogelijkheden, hoe je zonder er bij na te denken, richtlijnen kan overtreden. En wat doe je dan als je bijvoorbeeld zaken op een SharePoint hebt opgeslagen, die daar niet thuishoren. Meld je dit dan bij een leidinggevende? Of meld je dit conform de procedure ‘datalek’? Uiteraard zou het antwoord ‘ja’ moeten zijn, maar in de praktijk gebeurt dit vaak niet. Dit heeft er toe geleid dat de boetes de afgelopen jaren behoorlijk hoog zijn geworden. Want het niet melden van datalekken is voor de wetgever een doodzonde. Vanuit AP Support vinden we het ‘t allerbelangrijkst dat onze opdrachtgevers er op mogen vertrouwen dat wij hun beleid kennen en hier ook naar handelen, want vertrouwen is een groot goed in onze sector!

En dan nu de gewetensvraag: handel jij altijd conform de richtlijnen van de opdrachtgever? Of denk je na het lezen van dit verhaal: “toch maar weer eens de richtlijnen doorlezen”?

Paulien Gums

Senior Consultant Plus - AP Support

Nieuws

Gerelateerd nieuws

Lees meer >