20% techniek versus 80% beleid: hoe voldoe je aan de Wet bescherming persoonsgegevens?

Social media, Het Nieuwe Werken en privé surfen: je personeel heeft het allemaal omarmd en als werkgever ga je erin mee. Het vervagen van de grenzen tussen zakelijk en privé heeft echter als gevolg dat het steeds moeilijker wordt om te voldoen aan de eisen van de Wet bescherming persoonsgegevens (Wbp). De oplossing ligt vaak in het inperken van de ontstane verworvenheden, maar daar maken bedrijven zich niet populair mee. Daarom laten ze de situatie vaak maar zoals zij is.

Als je bedenkt dat organisatorische problemen 80% van de datalekken veroorzaken, is dat niet verstandig. Daar komt bij dat de regelgeving omtrent persoonsgegevensbescherming enorm is verscherpt sinds 1 januari 2016 en dat deze alleen maar nóg strenger zal worden met de invoering van de Europese wet in 2018.

Geen inperking, geen bescherming 

Met een ICT-gedoogbeleid zijn je medewerkers in feite vogelvrij op het gebied van persoonsgegevensverwerking. Inbreuk op privacy kan in dit geval eenvoudig worden gepleegd. Dat is uiteraard niet de bedoeling, omdat alle betrokkenen hiervan schade kunnen ondervinden.

Technische problemen of slecht beleid?

Sinds 1 januari 2016 kan de Autoriteit Persoonsgegevens flinke boetes opleggen wanneer bedrijven de privacywetgeving schenden. En een ‘ongeluk’ zit in een klein hoekje. Verwerk je bijvoorbeeld gegevens van personen en informeer je hen niet over het doel hiervan of beveilig je gegevensverwerking niet op de juiste wijze, dan is er reeds sprake van een datalek. Hoewel veel mensen denken dat datalekken worden veroorzaakt door problemen van technische aard, is dat vaak geenszins het geval; een niet-sluitend intern ICT- en privacybeleid, dat het onbevoegden gemakkelijk maakt om toegang te krijgen tot persoonsgegevens, ligt hier veel vaker aan ten grondslag.

Dek het risico af

Heb je zaken als malwarebeveiliging, firewalls en data-encryptie uitstekend geregeld? Dan hoef je je over de 20% techniek geen zorgen te maken. Maar de overige 80%, die voornamelijk voortkomt uit het feit dat medewerkers niet op de hoogte zijn van de regels, dien je ook goed af te dekken. Leg daarom goede afspraken vast, bijvoorbeeld over het delen van gegevens via Dropbox, de te volgen procedure wanneer er een laptop of smartphone met gevoelige data wegraakt en het posten van informatie op social media.

Kun je hier de hulp van een expert bij gebruiken? Neem gerust eens contact met ons op!