Enige tijd geleden schreef collega Walter van Holst al over de in aantocht zijnde Algemene Verordening Gegevensverwerking (AVG), die in werking treedt op 25 mei 2018 en dan in de plaats zal treden van de Wet bescherming persoonsgegevens (Wbp). Naast een uitbreiding van de categorie ‘bijzondere persoonsgegevens’, het in specifieke gevallen verplicht worden van een Functionaris Gegevensbescherming en het uitvoeren van Privacy Impact Assessments (PIA’s), komt er een eenvormige meldplicht bij datalekken in heel Europa, inclusief een nieuw uniform streng boeteregime. Ook wordt de verplichting tot het voeren van informatiebeveiligingsbeleid (in de AVG aangeduid als gegevensbeschermingsbeleid) voor sommige verwerkingsactiviteiten nu nog steviger wettelijk verankerd. Kortom, gegevensbescherming was al belangrijk, maar wordt in de komende tijd nog belangrijker!
Voor Nederland geldt nu een maximale boete van 820.000 euro of 10 procent van de omzet bij een aantal schendingen van de Wet bescherming persoonsgegevens. Onder de AVG gaat voor sommige overtredingen nu een maximale boete van 20 miljoen euro gelden die in het geval van bedrijven, als dat hoger is, gemaximeerd kan worden tot 4 procent van de wereldwijde jaaromzet. Lidstaten zijn wel bevoegd om die boetebevoegdheid in te perken daar waar die overheden kan raken. Met andere woorden, organisaties kunnen het zich niet meer veroorloven om niet over gegevensbescherming na te denken.
Reden te meer voor Mitopics om het dienstenpalet, waarin de Privacy Impact Assessment al is opgenomen, uit te breiden met pragmatische dienstverlening rondom informatiebeveiligingsbeleid. Daarvoor worden de AVG en de invulling die thans door de Autoriteit Persoonsgegevens wordt gegeven aan de regelingen uit (nu nog) de Wbp inzake beveiliging van persoonsgegevens als uitgangspunt genomen. Met dat vertrekpunt wordt door een multidisciplinair team van technische, bedrijfskundige en juridische specialisten een praktisch en bruikbaar stappenplan opgesteld om te komen tot informatiebeveiligingsbeleid dat is afgestemd op de organisatie.
Afgelopen maanden is dit stappenplan, bij wijze van pilot, door Mitopics in de praktijk getest bij een aantal organisaties. Daarnaast is een tweetal groepen masterstudenten die in de eindfase van hun universitaire studie Business & ICT Management aan de Universiteit Utrecht zitten, ingezet om de ontwikkelde werkwijze in de praktijk uit te voeren. Met behulp van de evaluaties daarvan is de aanpak gefinetuned, waarmee een stappenplan is opgesteld om tot informatiebeveiligingsbeleid te komen. Dat stappenplan ziet er als volgt uit:
- Inventariseren: deze stap bestaat uit het inventariseren en vastleggen van de bedrijfsprocessen waarmee (persoons)gegevens worden verwerkt, de ketenpartners die hierin een rol spelen en het reeds (impliciet) in de betreffende organisatie aanwezige informatiebeveiligingsbeleid. Input voor deze stap wordt zowel gevonden in bestaande stukken (Programma van Eisen, contracten, inrichtingsdocumenten) als interviews, terugkoppeling geschiedt via een rapportage.
- Analyseren: op basis van de inventarisatie wordt in samenspraak met de organisatie bepaald welke informatiestromen de meest informatie-intensieve zijn. Deze meest kritische informatiestromen worden vervolgens onderworpen aan een risicoanalyse.
- Evalueren: de voorgaande twee stappen worden nu samengenomen en er volgt een mapping van de aanwezige beleidspunten op de meest risicovolle informatiestromen. Hieruit volgt een rapportage met aanpassingen op het huidige beleid, in samenspraak met de organisatie vanwege managementkeuzes t.a.v. specifieke risico’s.
- Uitbreiden naar de keten: hier wordt gekeken naar de ketenpartners die een rol spelen binnen informatiestromen en hoe het aan te passen informatiebeveiligingsbeleid zich hiertoe verhoudt.
- Vaststellen: Rapportage uit voorgaande stappen komt samen in een plan met hoofdlijnen voor het actualiseren van het staande informatiebeveiligingsbeleid.
- Actualiseren en generaliseren: In deze laatste stap wordt de daadwerkelijk actualisatie ingeregeld, waarbij het beleid zodanig wordt aangepast dat het niet alleen toepasbaar is op de meest informatie-intensieve informatiestromen, maar ook op de stromen die in de eerdere stappen mogelijk buiten beschouwing zijn gelaten.
Het doorlopen van de zes stappen resulteert in informatiebeveiligingsbeleid dat flexibel kan meebewegen met de ontwikkeling van de organisatie. Op basis van het informatiebeveiligingsbeleid kunnen ‘passende technische en organisatorische beveiligingsmaatregelen’ worden getroffen. Het beleid vormt een solide fundament voor het opzetten en implementeren van maatregelen die steeds dienen te worden aangepast op de specifieke omstandigheden van de situatie waarbij persoonsgegevens worden verwerkt. Mitopics kan uw organisatie tevens, in samenwerking met onze in informatiebeveiliging gespecialiseerder partners, bijstaan bij het formuleren van ‘passende maatregelen’. Zo zorgt u, met het oog op de steeds strengere wet- en regelgeving, voor een zo efficiënt mogelijke beveiliging van persoonsgegevens en andere bedrijfsvertrouwelijke data.
Wilt u meer weten over informatiebeveiliging of andere privacyrechtelijke verplichtingen? Neem dan contact met ons op via info@mitopics.nl of 0182-573211.