Logo
  • Achtergrond
  • 20 oktober 2016
  • Bron: Iron Mountain

Stappenplan om te voldoen aan regelgeving tegen datalekken

De vereisten en verantwoordelijkheden voor het beheer van Persoonlijk Herleidbare Informatie (PHI) gaan steeds verder. De General Data Protection Regulation vereist tot 4 mei 2018 stapsgewijze aanpassing en aanscherping van het informatie-beheerbeleid. Daarna is de GDPR in al zijn aspecten van kracht, in alle Europese landen. Door het volgen van dit stappenplan kunt u zich optimaal voorbereiden op de wet- en regelgeving met betrekking tot datalekken.
Beeld Stappenplan om te voldoen aan regelgeving tegen datalekken

De EU GDPR is ontworpen om persoonlijke informatie beter te beschermen in een digitaliserende wereld. In essentie geeft de wetgeving burgers het recht om te bepalen of, wanneer, hoe en aan wie zijn of haar gegevens en informatie worden verstrekt en waartoe die gegevens mogen worden gebruikt. De boetes zijn genadeloos: tot 4% van de wereldwijde omzet van het moederbedrijf, of 20 miljoen euro. Dat geeft Informatie Managers positie en is een stok achter de deur om de directie te overtuigen er nu een serieus project van te maken.

Bedrijven en overheden moeten vanwege de GDPR alle privacygevoelige Persoonlijk Herleidbare Informatie (PHI) in kaart brengen. De werkprocessen en het documentbeheer moeten voldoen aan de nieuwe wet- en regelgeving, en daarmee ´compliant´ zijn ingericht. De informatiemanager kan dat niet alleen en moet aan de slag met IT, facility, legal en natuurlijk de directie. Iron Mountain deelt de plichten voor het beheren van de privacygevoelige gegevens op in zes stappen, met verantwoordelijkheden:

Stap 1: Welke data zijn persoonlijke gegevens?

De definitie van ‘personal data’ in de nieuwe wetgeving, is dat al die gegevens (in-)direct terug te voeren zijn naar een ‘data subject’, een levende persoon. Dat strekt ver en betreft ook IP-adressen, cookies en ‘device identifiers’ die gebruikte apparatuur herkennen. Gegevensbeheerders moeten aantonen welke Persoonlijk Herleidbare Informatie (PHI) ze onder hun hoede hebben, de informatierisico´s in kaart brengen en laten zien hoe ze die minimaliseren. Hier moet de IT manager ook mee aan het werk!

Stap 2: Is de GDPR toepasselijk?

Ken de GDPR-terminologie om de relevantie van de vijftig wetsartikelen voor het bedrijf of de overheidsorganisatie te begrijpen. Behalve ‘personal data’ en ‘data subject’ worden termen gebruikt als ‘territorial scope’, ’data subject access requests’, ‘the right to erasure’, ‘data portability’ en ‘consent’. De hele woordenlijst staat op EUGDPR.org. Zet de huisjurist aan het werk!

Stap 3: Waar bevindt de PHI zich in de organisatie?

Bepalen welke PHI zich waar bevindt, is een voorwaarde om überhaupt aan de verplichtingen te kunnen voldoen. Dat vraagt inventarisering en analyse van data op bedrijfssystemen, apparatuur van medewerkers, externe (‘cloud’-) servers en archieven, en informatie in gebruik of bewaring bij leveranciers, onderaannemers en andere partners die privacygevoelige gegevens namens uw bedrijf verwerken. Hier moeten IT, facility en de informatiemanager samen aan de slag!

Stap 4: Ontwikkel een ‘informatieplattegrond’

Na de analyse in Stap 3 is het belangrijk om een ‘data map’ aan te maken: een informatieplattegrond die in één oogopslag een totaaloverzicht biedt van wat de oorsprong is van welke informatie en waar die informatie allemaal resideert. Die moet ook laten zien hoe de informatiebronnen verbonden zijn met andere systemen – met nadruk op de PHI, fysiek én digitaal. Dat geeft vlot en voortdurend inzicht in de plaats, aard en waarde van alle informatie. Voor een goede datamap is het praktisch om facility management en IT om tafel te zetten en als informatiemanager de regie over hun samenwerking te voeren!

Stap 5: Beoordeel en verbeter het bestaande informatiebeleid

Nu duidelijk is welke informatie zich waar bevindt, wat de aard en waarde ervan is, en hoe die informatie wordt gedeeld, is het belangrijk te bepalen wat ermee mág, en hoe u ermee moet omgaan. Bijvoorbeeld wat de bewaartermijnen zijn. Dat vraagt om adequate beleidsregels ten aanzien van die bewaartermijnen, in overeenstemming met de wet- en regelgeving en contractuele verplichtingen. Het komt er op neer dat er genoeg informatie, maar niet te veel wordt bewaard, gebruikt en gedeeld, en dat dan niet te kort (fiscus, patiëntgegevens), maar ook niet te lang (PHI). Gegevensvernietiging is een delicate kwestie, die ook uiterst vertrouwelijk en aantoonbaar juist moet gebeuren. Dit is voer voor de jurist en de informatiemanager samen!

Stap 6: Blijf waakzaam en onderneem de nodige actie

Tenslotte is het belangrijk dat uw gehele organisatie en de partners zich bewust zijn van de verplichtingen en afspraken, en dat er bijvoorbeeld eenduidigheid bestaat over de bewaartermijnen en het vernietigingsbeleid. Regelmatige beoordeling is nodig om gelijke pas te houden met veranderende wet- en regelgeving en contractuele verplichtingen en eventuele bedrijfsmatige veranderingen. Regievoering en bewaking horen thuis bij de directie!

Iron Mountain (NYSE: IRM) is wereldleider op het gebied van informatiebeheer en archiefopslag. De diensten die Iron Mountain biedt op het gebied van papieren en digitale informatiestromen, doen de kosten, risico´s en inefficiënties van klanten drastisch dalen.

Producttips