Ga direct naar de inhoud.

persoonsgegevens beveiligen
Voldoet uw organisatie aan ISO 27001

Persoonsgegevens beveiligen conform ISO 27001

In organisaties gaat dagelijks een massale hoeveelheid gegevens om. Via e-mail, servers, dossiers, printers, social media en vele andere kanalen worden data van de ene plek naar de andere gebracht, worden ze gekopieerd, of gewoon ingekeken. De Wet bescherming persoonsgegevens stelt hier voorwaarden aan. Op welke wijze kunt wettelijk gestelde eisen verenigen, bureaucratie voorkomen en de persoonsgegevens zowel beschermen als gebruiken tegelijkertijd?!

Wat mag? Wat mag niet? Zijn organisatieprocessen effectief en ook conform de wet? In dit artikel leest u hoe u uw eigen organisatie kunt beveiligen, kostbare fouten kunt voorkomen en tegelijkertijd toch efficiënt kunt blijven werken.

Maak informatiebeheer onderdeel van het kwaliteitsmanagementsysteem:

  1. Voorbeelden van processen met persoonsgegevens
  2. De norm ISO 27001 als richtlijn voor informatiebeheersing
  3. Procedures borgen om informatie te beveiligen
  4. Organisatie inrichting en proces design samen voegen
  5. Informatie is overal en kan overal naar toe
  6. Resultaat is dat geen kosten of fouten mogen ontstaan

1. Voorbeelden van processen met persoonsgegevens

Voordat we de theorie en de praktijk induiken eerst enkele voorbeelden van interessante vraagstukken, waar u mogelijk mee te maken heeft:

  1. Een klant van u vraagt een curriculum vitae van één van uw medewerkers om te kunnen beoordelen hoe goed deze medewerker is gekwalificeerd. Kunt u die geven?
  2. U wilt informatie over uw medewerkers op de website gebruiken en op Twitter voor de PR van uw organisatie. U denkt daar voordeel mee te behalen en het is leuk voor de medewerkers. Mag dat?
  3. U neemt op een onplezierige manier afscheid van een medewerker, die op zijn Linkedin profiel met al uw klanten een connectie heeft. Mag u eisen dat hij deze verwijdert?
  4. Een medewerker gaat op cursus VCA. Tijdens de cursusdagen is het erg gezellig en op zijn Facebook worden allerlei uitspattingen gedeeld, die geen reclame zijn voor uw organisatie. Kunt u hier iets tegen doen?
  5. Uw HR manager is ziek, maar de gegevens uit het personeelsdossier van een medewerker zijn nodig op de administratie om een account aan te maken. Mag de manager het dossier even pakken?

Zo kunnen we nog eindeloos veel praktijkvoorbeelden schetsen. De vraag die wellicht bij u opkomt, kan zijn: Waarom staan deze voorbeelden op de website van een managementadviesbureau en niet op die van een advocatenkantoor? Wel, een advocaat heeft u zeker nodig als het misgaat (bijvoorbeeld arbeidsrechtelijk), maar bij ons gaat het er om de organisatie van te voren goed en efficiënt in te richten, zodat problemen worden voorkomen. Dat is een uitdaging wat informatie is in alle processen aanwezig, evenals gedrag van mensen.

Het is gemakkelijk allerlei spelregels af te spreken, protocollen te ontwerpen, handboeken te schrijven en beveiligingen in te bouwen, maar het moet natuurlijk wel werkbaar blijven. Sterker, uw medewerkers moeten snel en goed kunnen werken. Daarbij is uw core business hoogst waarschijnlijk niet informatie te beveiligen. Data moet wel veilig zijn, als randvoorwaarde, maar de organisatie mag niet vastlopen in bureaucratie, formaliteiten en beveiligingsblokkades. Medewerkers moeten kunnen werken en tegelijkertijd mogen noch zij, noch uw organisatie risico’s lopen.

2. De norm ISO 27001 als richtlijn voor informatiebeheersing

Er bestaan twee belangrijke, gestandaardiseerde normen voor informatiebeveiliging: De normen ISO 27001 en ISO 27018. Beide normen doen we met deze kenschets tekort, maar het is een beeld uit de praktijk. Het zijn beide normen voor informatiebeveiliging en kunnen door iedere organisatie worden toegepast. Deze informatienormen zijn gebaseerd op de belangrijkste norm van allemaal en dat is de wet: de Wet Bescherming Persoonsgegevens (Wbp). Ook wel populair de wet op de privacy genoemd, die gaat over de beveiliging persoonsgegevens in bedrijfsprocessen.

Zonder nu al te veel uit te wijden over de inhoud van deze wet komt de essentie er op neer dat gegevens van personen - persoonsgegevens - eigendom zijn van de persoon in kwestie: Een natuurlijk persoon of een rechtspersoon. Het gaat om de bescherming van die persoonsgegevens. Bijvoorbeeld: Uw naam is van u, evenals uw paspoortnummer, burgerservice nummer, geboortedatum en medische gegevens, maar ook uw foto’s, IP adres, DNA en uw financiële situatie. Deze en nog veel meer gegevens zijn uw eigendom.

Omdat deze gegevens uw eigendom zijn, betekent dat ook dat alleen u volgens de wet Wbp bepaalt wat er met uw gegevens gebeurt. U bepaalt, niemand anders. Niet uw baas, uw arts, uw apotheker, uw familie of uw overheid. Niemand anders dan uzelf, die, van wie de gegevens zijn, mag de gegevens zien, verhandelen, weggeven of anders gebruiken. Tenminste, niet zonder uw toestemming.

Met die laatste toevoeging wordt het natuurlijk ineens interessant. Gegevens mogen niet worden gebruikt of ingezien, tenzij u toestemming geeft. Daar zit natuurlijk de clou: Is altijd duidelijk wanneer en hoe u toestemming heeft gegeven. En hoe zit dat dan met organisaties? Wel, eigenlijk hetzelfde. Informatie van de organisatie mag alleen door die organisatie worden gebruikt, tenzij andere wetgeving hierover anders beslist. Een voorbeeld hiervan is de verplichte publicatie van de jaarcijfers.

3. Procedures borgen om informatie te beveiligen

Laten we eens verder kijken naar wat dit betekent voor de dagelijkse processen in uw organisatie. Een bekend voorbeeld is natuurlijk het personeelsdossier. Iedereen weet intuïtief dat dat dossier vertrouwelijke informatie bevat. Een medewerker geeft de werkgever toestemming zijn persoonlijke gegevens te zien en te bewaren. Dat heeft een doel. Niemand anders dan een bevoegd persoon in de organisatie mag die gegevens inzien. Ze zijn immers van de medewerker en alleen hij of zij mag hierover beslissen c.q. bevoegde personen in de organisatie mogen met deze gegevens werken conform de afspraken, zoals die van te voren met de werknemer zijn gemaakt. Het gaat dus om het doel en de toestemming van de eigenaar.

Dat is de reden waarom niet iedereen zomaar de kast met personeelsdossiers mag openen en in dossiers mag kijken. Er is geregeld dat de werkgever deze dossiers moet aanleggen, beheren en onderhouden met een bepaald doel, maar het is niet toegestaan deze gegevens over te dragen aan een andere medewerker zonder toestemming van de eigenaar van de gegevens of ze voor een ander doel te gebruiken.

Iedere organisatie heeft personeelsdossiers en die moeten dus worden afgesloten en beveiligd. Dat is eenvoudig. Punt 5 van bovenstaande voorbeelden is daarmee beantwoord. Het hangt af van de wijze waarop de procedures hierover zijn vastgesteld. Zijn hierover geen afspraken gemaakt, dan mag een andere manager de informatie niet inzien. Zijn hierover wel afspraken, dan kan het wel. Bijvoorbeeld door in uw kwaliteitsmanagementsysteem (ISO 9001, et cetera) in de procedure informatie- en documentatiebeheer hierover afspraken vast te leggen en die van te voren met de medewerker af te stemmen. Zo kunnen werkzaamheden veilig en goed doorgaan. Tot zover de makkelijke kant.

4. Organisatie inrichting en proces design samen voegen

Met cliëntendossiers in een ziekenhuis of bij uw huisarts of in het verpleeghuis wordt het al snel ingewikkelder. Feitelijk gelden twee regels: (1) Degene van wie de gegevens zijn, moet toestemming geven om zijn of haar gegevens over te dragen naar een andere partij én tevens (2) moet het doel bepaald zijn. Als u bijvoorbeeld bij een arts wordt behandeld en deze verwijst u door naar een andere arts voor extra onderzoeken, dan is er voor het overdragen van uw dossier eerst uw toestemming nodig. Het doel is daarmee ook duidelijk. Deze artsen mogen uw gegevens niet voor andere doeleinden gebruiken dan het doel om u beter te maken.

Dit is bijvoorbeeld ook precies de reden waarom u altijd een formulier moet tekenen als u bij een andere apotheek dan uw eigen apotheek een medicijn koopt. Deze nieuwe apotheek moet, als ze hun werk goed willen doen, de aankoop van het medicijn in uw medisch dossier zetten, zodat uw medische situatie geen hiaten bevat. Daartoe moet de informatie van uw aankoop over worden gedragen aan uw eigen apotheek c.q. uw arts. Dat kan alleen als u daarvoor toestemming geeft en daar tekent u voor.

Nu komen we aan bij de organisatie-inrichting en de praktijk. De core-business van een apotheek is natuurlijk medicijnen te verkopen en dat wil de organisatie zo efficiënt mogelijk doen. Hoe kan een procedure zodanig worden ontworpen, dat de organisatie haar core-business goed en zorgvuldig kan uitvoeren en bureaucratie wordt voorkomen? In dit voorbeeld is het administreren van gegevens om meerdere redenen belangrijk, onder andere omdat professionals zoals artsen een medisch overzicht nodig hebben om hun werk goed te kunnen doen. Dat geldt ook in de industrie: Bijvoorbeeld een detacheringsbureau geeft informatie over een kandidaat om haar klanten te overtuigen van een goede match. De klant moet een goede beoordeling kunnen maken, maar de kandidaat bepaalt welke gegevens worden vrijgegeven.

Hoe ziet de administratie er dan uit? Waar en hoe worden de gegevens opgeslagen en kan er toch efficiënt worden gewerkt? Dit zijn de interessante vragen op de scheidslijn van veiligheid, efficiëntie en voldoen aan de wet. In bovengenoemd voorbeeld zal u er in de meeste gevallen weinig bezwaar tegen maken dat het medisch dossier compleet wordt gemaakt, omdat dat in uw eigen belang is (er zijn natuurlijk uitzonderingen denkbaar!).

We helpen u met het ontwerpen van slimme procedures voor het kwaliteitsmanagementsysteem, zoals ISO 27001, waardoor gegevens goed en veilig worden behandeld en uw core business tegelijkertijd kan blijven functioneren.

5. Informatie is overal en kan overal naar toe

Hoe gaat dat in andere dagelijkse processen, bijvoorbeeld in de marketing? Kunt u als organisatie een LinkedIn message plaatsen als: Mark Jansen uit Utrecht is onze beste medewerker en specialist op het gebied van lastechnieken. Bel hem voor vragen op zijn mobiele nummer: 06 12345678? Dat kan, als van te voren is geregeld welke procedures en afspraken gelden en wat het doel is. Als Mark toestemming geeft, kan het. Deze procedures en afspraken worden bijvoorbeeld in een social media code vastgelegd als onderdeel van de bedrijfsvoorschriften of in arbeidsovereenkomsten. Dit gaat over persoonlijke informatie.

Hoe is het dan met informatie van uw organisatie? Die valt niet onder de Wbp. Stel, een medewerker schrijft zijn Facebook vol over de cursus VCA, die hij in uw opdracht en op uw kosten volgt. Zonder uw toestemming mag dat niet, omdat meestal in arbeidscontracten of bedrijfsreglementen richtlijnen staan over de externe communicatie van uw organisatie. De Wbp is hierop echter niet van toepassing.

Ook als hij de teksten op Facebook in de avonduren buiten werktijd plaatst, is de informatie nog steeds van uw organisatie (de rechtspersoon). Het antwoord op voorbeeld 4 is daarmee gegeven. Echter, hoe weet de medewerker dat u wel of niet toestemming heeft gegeven om berichten te plaatsen?

Dat weet hij niet, tenzij u hem dat expliciet hebt verteld. Dat doet u om te beginnen via een social media code. Dit document is onderdeel van de andere bedrijfsreglementen van de organisatie en beschrijft wat u van medewerkers verwacht ten aanzien van sociale media. Met andere woorden, het LinkedIn-profiel is van de medewerker, dat is privé, maar de informatie er op kan wel eens van uw organisatie zijn. Het antwoord op de bovenstaande voorbeelden 2, 3 en 4 is daarmee ook (op hoofdlijnen) gegeven. Mits u als werkgever uw huiswerk heeft gedaan en uw medewerkers duidelijk heeft laten weten wat de regels zijn met betrekking tot uw eigen bedrijfsinformatie!

Vervolgens is er dan nog de situatie dat we (iedereen) met e-mail, Twitter, WhatsApp en andere media communiceren. Een e-mail met bijlage is zo gestuurd, een tweet is zo wereldkundig gemaakt en een laptop met informatie is zo verloren of gestolen. Wat dan? Ook hier gelden weer dezelfde spelregels: Van te voren met de eigenaar afspreken hoe met informatie wordt omgegaan en wat het doel is. Die spelregels maken we onderdeel van het kwaliteitsmanagementsysteem c.q. de bedrijfsrichtlijnen of arbeidscontracten.

Wij adviseren uw managers hierover. Meestal begint dat advies met een gesprek met de HR manager of de directeur. Daar maken we het beleid expliciet en omschrijven we de richtlijnen. Daarna volgt de omzetting naar procedures, zoals wijze van opslaan van gegevens in personeelsdossiers, commerciële uitingen in de sociale media, of toegankelijkheid van informatie op een server. Al deze richtlijnen maken we onderdeel van het kwaliteitsmanagementsysteem, waarna ze in de praktijk worden gebracht.

6. Resultaat is dat geen kosten of fouten mogen ontstaan

In bovengenoemde voorbeelden wordt uitgegaan van de richtlijnen van de wet. De wet heeft een statische vorm, waarin staat wat wel en wat niet mag. Uw organisatie bestaat echter uit processen die continu moeten doorgaan. U wilt natuurlijk bereiken dat wel berichten op de sociale media worden geplaatst, namelijk positieve berichten, die goed zijn voor uw organisatie en een manager moet in een dossier kunnen kijken als dat nodig is.

De statische richtlijnen van de wet/wetten worden omgezet in spelregels, die er voor zorgen dat processen kunnen doorlopen en verspillingen (Lean) worden voorkomen. De toepassing van de Wet Bescherming Persoonsgegevens, of de daaraan gekoppelde norm ISO 27001 is niet alleen verplicht, het is ook handig, veilig en beschermend. Aan de wet moeten we nu eenmaal voldoen. Dat kunt u misschien vervelend vinden, maar er niet aan voldoen kan voor enorme kosten zorgen of tot grote schadeposten leiden. Vooral in de media.

Los van de wet, is het ook in uw eigen belang vooraf na te denken over de beheersing van informatie. Negatieve PR is tegenwoordig heel eenvoudig gerealiseerd en zie dat maar weer eens te herstellen. Dat kost echt veel geld en tijd. Daarom zijn de beide normen ook geschreven in lijn met kwaliteitssystemen als ISO 9001 en ISO 27001, waarbij organisaties worden uitgenodigd de PDCA cirkel te laten draaien. De beide normen verlangen dat organisaties een mechanisme van continue verbetering implementeren en dat mechanisme is natuurlijk uw bestaande kwaliteitsmanagementsysteem.

Eenvoudig gezegd is het de kunst van te voren de informatie te inventariseren waarmee uw organisatie te maken krijgt en hierover vervolgens met de eigenaren van die informatie goede afspraken te maken. Die afspraken kunt u vervolgens in procedures vervatten als onderdeel van het kwaliteitsmanagementsysteem. Dat leidt dan tot:

  • Beveiligde informatie
  • Rust en betrouwbaarheid
  • Efficiëntie in de werkwijzen
  • Voorkomen van incidenten of hoge kosten
  • Certificatie desgewenst
  • Alleen positieve PR
  • Tevreden klanten of cliënten

Hulp bij de beheersing van informatieprocessen

We begrijpen dat het onderwerp in dit artikel met gemengde gevoelens wordt gelezen. Toch is er wel teveel onterecht emotie rond dit onderwerp. Zo ingewikkeld is het niet. Het is een kwestie van één keer goed ontwerpen en dan inrichten, zoals met alle andere onderwerpen, die niet de core business zijn. Wij helpen u uw bestaande procedures te vervolmaken, zodanig dat ze voldoen aan de wet en aan de genoemde normen. Dus niet extra boeken schrijven, maar uw dagelijkse gang van zaken analyseren en deze dan laten voldoen aan de richtlijnen. We helpen met:

  1. Het uitvoeren van audits of onderzoeken
  2. Ontwerp en verbetering van procedures
  3. Inrichting van procedures/protocollen als onderdeel van het kwaliteitssysteem
  4. Medewerkers instrueren, trainen
  5. Documentatie en vastlegging verzorgen
  6. Social media code ontwikkelen, passend bij uw organisatie
  7. Personeelsbeleid ontwikkelen
  8. Bescherming van gegevens van personeel, patiënten en klanten

Sommige onderwerpen van procesmanagement zijn spectaculair, andere zijn ‘slechts’ de license to operate. We helpen u de risico’s in uw organisatie te beheersen, terwijl tegelijkertijd de processen toch ook efficiënter worden. Laat ons vooraf een audit uitvoeren, dan heeft u gelijk alle antwoorden.

Heeft u vragen over de Wbp of ISO 27001. Vraag de Checklist ISO 27001 aan. Of neem dan geheel vrijblijvend contact met ons op via 088 33 666 66, of stuur een e-mail naar info@patagonia-bv.com.

Gegevens invullen voor vragen en informatie

Effectief Wbp & ISO 27001:

  • Doelen en kaders stellen
  • Processen ontwerpen
  • Gedrag meten en analyseren
  • PDCA cirkel draaien
  • Eén effectief managementsysteem
×
Patagonia B.V. maakt gebruik van cookies. Bij gebruik van onze website gaat u ermee akkoord dat we deze cookies plaatsen en daarmee gegevens verzamelen. Op deze manier krijgen we een goed beeld van u als bezoeker en kunnen we u een optimale gebruikerservaring bieden. Als u geen cookies wilt, kunt u deze website niet gebruiken. Lees meer over cookies