Checklist Functionaris voor de Gegevensbescherming

CHECKLIST FG  |  Functionaris voor de Gegevensbescherming

Hier vindt u een handige overzicht om op een centrale plaats op het werk aan de muur te hangen. Breng dataprotectie onder de aandacht van alle medewerkers en afdelingen die met persoonsgegevens en bestanden werken. Download hem via de Blendle knop hieronder.
Deze punten waren volgens ICT-ers en juristen op de Zorg en ICT beurs 2016 het belangrijkst en het meest voorkomend in elk bedrijf. Ze werden voor u genoteerd en gesorteerd onder redactie van V.F. Wiendels.

De volgende onderwerpen komen aan bod:
Inloggen / Clouddiensten / Outsourcen / Bescherming van data / Beperking van data / Informatie die u uw klanten moet geven / Data-beleid in de boardroom.

 

Inloggen:

Wachtwoorden

-Geen wachtwoorden op server
-wachtwoorden niet automatisch laten invullen

 

Thuiswerk

-laptop van thuiswerkers regelmatig bij ICT inleveren: firewalls updaten en op afstandcheck malware

-tokens: malware check

-beperkte bestandstoegang

 

Receptie/ secretaresse

-extra bewustzijn phisingmail

-afspraken welke info telefonisch te geven?

-wat bewaren we waar?

-gatekeeper: wie heeft welke toegang

Cloud diensten:

Geen persoonsgegevens op een amerikaanse cloud

Dus geen software applicaties gebruiken als:

-office 360

-skype

-sommige nieuwsbrief en mailingsprogramma’s

-google docs

-planningssoftware

-presentatie apps als Prezi

Andere applicaties

-beveiligen met een shield:

(met Shield is Drop box bv wel veilig)

 

Outsourcen: Dataverwerking of serverhosting uitbesteden aan derde partij

-Gegevens alleen voor 1 doel bewaren

-Gegevens niet doorverkopen of zelf gebruiken voor andere doelen zonder expliciete toestemming.

-onderzoekers geen toegang zonder pseudonimisering

-Afspraken zwart op wit met derde partij (geen standaard contract maar neem de regie over dit contract) met hierin:

-Waar staat de server

-Hoe is die beveiligd (benoem naam van software- en virusscanpakketten en update data).

-Direct meldingen bij lek of malware /virus besmetting of pogingen daartoe.

-Na einde contract vernietiging data of teruggave data

 

Bescherming

Malware

Firewall

Antivirus

Alleen betaalde diensten: gratis antivirus software voldoet niet aan de wetgeving voor bedrijfsmatig verwerken van persoonsgegevens

Encrypten

Anonimiseren

Pseudonimiseren

LAAT JE HACKEN! De snelste manier om zwakke plekken in het systeem op te sporen is een Pentest:
huur een extern bedrijf in om uw beveiliging te testen:
undercover bezoeker, phising mail test, hackpoging intern en extern.

 

Beperking van data

Kopieen paspoort verwijderen uit systeem Sofinummers alleen bij arbeidsrelatie toegestaan. Andere sofinummers verwijderen uit systeem.

Zie richtlijn autoriteitpersoonsgegevens.nl

Sluizen dicht: alleen medewerkers die direct met de data moeten werken krijgen toegang. Leg met loggingsysteem vast wie in welk dossier heeft gelezen en maak ‘’googlen op naam’’ in het systeem onmogelijk tussen verschillende afdelingen.
Alleen gegevens verzamelen die noodzakelijk zijn voor het doel.

Gegevens vernietigen zodra de klant stopt

Bewustzijn en analyse wat kan er met de data gebeuren: Welke soort data bewaart u? Voor welke schade bent u aansprakelijk als deze data lekt? Bewaar geen data die u niet goed kunt beschermen. Maak de naam van het extreem privacy gevoelige document ongooglebaar.

Geef het een heel andere naam en sla het op als een pdf. Hackers doorzoeken een systeem met zoektermen.

 

Klant info:

Verbeterrecht

Hoe kan de client foutieve data verbeteren?

Informatierecht

– U bent verplicht de klant te informeren hoe en waar u zijn gegevens bewaart: welke server, welke software (naam en toenaam), wie heeft toegang?

– Een datalek moet u melden aan de klanten wiens persoonsgegevens gelekt zijn.

Klachtenrecht

U heeft verplicht een aanspreekpunt waar de klant terecht kan met klachten omtrent privacy en databescherming.

 

Boardroom

Dataprotectie is een beleidsfunctie. Gegevensbeheer is integraal onderdeel van de bedrijfsstrategie. Niet alleen bescherming maar ook gebruikmaken en kennis halen uit data is onderdeel van beleid. Databeheer is net zo belangrijk als financieel beheer: het is geen noodzakelijk kwaad maar een pilaar waar uw bedrijf op staat.

Bewustzijn van gevolgen:

  • Wat zijn de gevolgen voor de klant bij een datalek?  Wat is de aard van de data? Maakt de data mensen chantabel? (zoals lijst van alle verslaafden in Utrecht).
  • Wat is het gevolg voor u als bedrijf? U bent aansprakelijk voor schade en het lek is tot u herleidbaar: Kunt u aansprakelijkheid niet dragen of waarmaken, is er onvoldoende kennis of geld beschikbaar voor een pseudonimiseer systeem: bewaar de data dan niet.
  • Hoeveel geld is de data waard? Hoeveel wordt er op de zwarte markt geboden voor de data die u in uw beheer heeft? Hoe vaak worden dergelijke bestanden gelekt?
  • Hoe is de bedrijfscultuur, bespreekbaarheid. Gelegenheid medewerkers.

Posted in 2016 Juni Thema Europa Tagged checklist

V.F. Wiendels

Antropoloog. Journalist. Informatieve teksten. Onderzoek. Interviews.

One Comment

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *