Privacy

Is dataprivacystrategie een fundamenteel middel om klantrelaties te ondersteunen en hoge boetes te vermijden. Als het op de juiste manier wordt ingezet, zou het zelfs een concurrentievoordeel zijn. Maar hoe implementeer en onderhoud je de juiste dataprivacystrategie?

Privacy is de afgelopen jaren een steeds belangrijker geworden. Waar het een paar jaar geleden nog werd gezien als iets waarvoor geld moest worden gereserveerd en uitgegeven, is de urgentie nu veel groter. Als bedrijven hun gegevens niet op elk niveau van uw organisatie beschermen, is de kans groot dat ze cybercrime-slachtoffers worden.

Daarnaast wordt de wetgeving voor de bescherming van gegevens steeds strenger. Daarbij hebben we te maken met de AVG ter vervanging van de lokale wetgeving. Al moet een inwoner uit Europa anders worden behandeld dan iemand uit de Verenigde Staten. Ook in de verschillende Amerikaanse staten zijn er grote verschillen in wetgeving. Waardoor bedrijven dan ook te maken met veel chaos als het gaat om de te volgen beleid.

Privacy moet nu zo grondig mogelijk worden aangepakt – van ontdekken van tot het vinden van inzichten tot bescherming van gevoelige gegevens. En bedrijven komen erachter welke data ze hebben, wat de risico’s zijn en hoe de data te beschermen.

Weet welke gegevens je hebt

Regelmatig zijn er bedrijven die niet precies weten over welke data ze beschikken. Het is echter cruciaal om te weten over welke data een bedrijf beschikt. Uiteindelijk kun je alleen beschermen als je weet wat je hebt.

In de eerste fase van privacy moet men zich afvragen wat gegevens zijn. Daarbij zijn vragen over welk type gegevens er in welke onderdeel van het bedrijf er zijn en of er een database wordt gebruikt. Deze inventarisatie geeft een globaal beeld van welke gegevens er beschikbaar zijn in de organisatie. “Als men praat met klanten die betrokken zijn bij bescherming, maken ze zich zorgen over het versleutelen van alle persoonlijk identificeerbare gegevens. Als men vraagt aan een bedrijf of men deze gegevens heeft, antwoorden ze altijd dat ze dat niet hebben.”.

De meeste bedrijven hebben een verkeerde veronderstelling gemaakt over de data binnen het bedrijf.

Om rekening te houden met zaken waar niet iedereen in een organisatie direct aan denkt, zoals datastromen of de mate waarin de data kritiek is. “Moet men niet alleen vanuit een strikt privacy perspectief handelen, maar ook vanuit een databeveiligingsperspectief. Wat is de financiële impact als het bedrijf ooit te maken krijgt met een datalek? De boetes, reputatieschade en omzetverlies”. Op deze manier worden bedrijven gedwongen de feiten onder ogen te zien.

Het opstellen en naleven van beleid essentieel voor de privacy.

Datedelen stappen

Voordat we onze persoonsgegevens delen met andere bedrijven, organisaties, en overheden vooral buiten de EER, moet we even stilstaan ​​bij de regels van de AVG.

8 Tips voor het delen van AVG-gegevens

Het delen van persoonsgegevens door organisaties binnen Europa valt onder de Algemene Verordening Gegevensbescherming (AVG). Het delen van gegevens is niet verkeerd. Er zijn legitieme redenen voor organisaties, overheden en bedrijven om persoonlijke informatie te delen.

Gerechtvaardigde redenen voor het delen van gegevens onder de AVG

Winkeliers kunnen klantadressen delen met een koerier voor bezorging.

Reisbureaus kunnen persoonlijke informatie met betrekking tot een boeking doorgeven aan een hotel.

Zorgverleners moeten de medische geschiedenis van een patiënt delen met een consulent die gereed is voor een operatie.

Een financieringsmaatschappij kan persoonsgegevens delen met een ratingbureau om de kredietwaardigheid vast te stellen.

Voordat u persoonlijke informatie deelt, is het van cruciaal belang ervoor te zorgen dat er een legitieme reden is om dit te doen, dat de beveiligingen adequaat zijn en dat er passende waarborgen zijn getroffen.

Er is veel veranderd sinds de invoering van de AVG, niet in de laatste plaats het Britse Brexit-referendum. Daarom is het de moeite waard om met een frisse blik te kijken hoe u compliant kunt blijven bij het delen van gegevens onder de AVG.

Tips voor het delen van AVG-gegevens

1. Overweeg legitimiteit

Waarom deel je in de eerste plaats gegevens? Wat is de wettelijke basis hiervoor? Wat hoop je te bereiken? Is het gerechtvaardigd? Is het delen van gegevens proportioneel? Welke en hoeveel gegevens worden er gedeeld? Met wie?

2. Weeg voordelen af ​​tegen risico’s

Wat zijn de voordelen en risico’s van het wel of niet delen van de informatie? Onthoud dat als er een hoog risico bestaat voor de rechten en vrijheden van betrokkenen, een gegevensbeschermings- of privacyeffectbeoordeling moet worden uitgevoerd.

3. Ga na of je het recht hebt om informatie te delen

Voor welk type organisatie werkt u bijvoorbeeld, welke relevante bevoegdheden of functies heeft zij, wat is de aard van de informatie die u van plan bent te delen (bijvoorbeeld is deze vertrouwelijk, bijzonder gevoelig, enz.), en is er een wettelijke verplichting (zoals een wettelijke verplichting, een gerechtelijk bevel, een bewaarplicht, enz.)?

4. Overweeg waar de gegevensoverdracht zich tussen bevindt:

Is het naar een land buiten de EER? Zo ja, valt de doorgifte dan onder een adequaatheidsbesluit dat de rechten en vrijheden van personen waarborgt?

Roadmap voor AVG-naleving

5. Wat te doen als er geen ‘adequaatheidsbesluit’ is?

Overweeg of andere waarborgen van toepassing zijn op de overdracht – bijvoorbeeld bindende bedrijfsregels (BCR’s), standaardcontractbepalingen (SCC’s) die zijn goedgekeurd door de Commissie, enz.

6. Controleer of een uitzondering de gegevensoverdracht dekt

Wat kunt u doen als u geen beschikking heeft over ’toereikendheid’ en geen passende waarborgen heeft? Wel, of u nu wel of niet de uitdrukkelijke toestemming van de persoon hebt, er zijn enkele uitzonderingen waarop u kunt vertrouwen.

Voorbeelden van uitzonderingen zijn:

Als u een contract heeft met de persoon;

Indien de doorgifte noodzakelijk is om redenen van algemeen belang;

Als de overdracht noodzakelijk is voor een rechtsvordering of;

Als de doorgifte noodzakelijk is ter bescherming van vitale belangen.

7. Ontwikkel protocollen en overeenkomsten voor het delen van gegevens

Zijn er momenteel deelprotocollen of overeenkomsten met de derde partij? Hoe vaak wordt informatie met hen gedeeld? Welke informatie geeft u hierover aan betrokkenen? Wanneer en hoe wordt dit gecommuniceerd? Welke specifieke maatregelen zijn er om de veiligheid te handhaven (bijvoorbeeld encryptie)?

8. Houd gegevens up-to-date en nauwkeurig

Hoe zorgt u ervoor dat de gegevens die u hebt gedeeld up-to-date en accuraat blijven? Wie is hiervoor verantwoordelijk (het bedrijf dat het delen doet of het ontvangende bedrijf)? Welke afspraken zijn er als betrokkenen er toegang toe willen hebben? Hoe lang moet elke partij gegevens bewaren en welke processen zijn nodig om ervoor te zorgen dat deze door alle partijen worden verwijderd wanneer ze niet langer nodig zijn?