GDPR compliance voor uw organisatie met ISO 27001

Waarborging van de privacy wordt steeds belangrijker. Dat is een grondrecht. Omdat met de verwerking van persoonsgegevens in automatische systemen gemakkelijk fouten kunnen worden gemaakt, is daarvoor speciale wetgeving ontwikkeld. Dat is de General Data Protection Regulation (GDPR). Deze is in Nederland bekend onder de Algemene Verordening Gegevensbescherming (AVG), die de Wet bescherming persoonsgegevens op 25 mei 2018 heeft vervangen. Wat betekent dit voor de procesbeheersing, de bescherming van informatie en de toepassing van ISO 27001?

Voldoe aan de GDPR en voorkom risico's op datalekken

De norm ISO 27001 is voor de beheersing en beveiliging van informatie bedoeld. Persoonsgegevens zijn daarvan een belangrijk onderdeel en op dat onderwerp moet dus minimaal aan de GDPR worden voldaan. Door aan de GDPR te voldoen, wordt ook aan de AVG voldaan. De norm ISO 27001 is daarvoor een handig hulpmiddel, samen met de tools van de GDPR.

De kaders van de wet GDPR leidt tot procesbeheersing en compliance:

  1. Wat zijn persoonsgegevens volgens de wet?
  2. Toestemming geven voor gebruik van gegevens
  3. Het gebruik van persoonsgegevens is gekoppeld aan een doel
  4. Information Security Management Systeem moet voldoen aan GDPR/AVG
  5. Compliance officer werkt samen met kwaliteitsmanager en managers

1. Wat zijn persoonsgegevens volgens de wet?

De nieuwe wet heeft een bredere definitie gekozen van wat persoonsgegevens zijn, namelijk iedere vorm van informatie, waarmee iemand (een natuurlijk persoon) kan worden geïdentificeerd. Dat is niet onlogisch, omdat het er in de basis om gaat de privacy te beschermen. Hierdoor vallen niet alleen NAW gegevens onder deze definitie, maar ook bijvoorbeeld nicknames, IP-adressen en identificatiecodes, omdat daarmee iemand uit een groep (data) geïdentificeerd kan worden. Dat mag niet. Wat betekent dit voor uw organisatie? Dat de gegevens van de medewerkers alleen binnen de organisatie mogen worden gebruikt voor de uitoefening van de arbeidsrelatie. Ze moeten bescherm worden, omdat derden met behulp van deze informatie medewerkers kunnen identificeren. Bijvoorbeeld voor een mailing of verkoopactiviteiten.

2. Toestemming geven voor gebruik van gegevens

Zolang medewerkers de werkgever geen toestemming geven persoonsgegevens anders te gebruiken, dan voor de uitoefening van de arbeidsrelatie, is dat andere gebruik niet toegestaan. Daarbij is het logisch dat de organisatie de persoonsgegevens niet mag verkopen, maar mogen die gegevens wel worden gebruikt om de PR van de eigen organisatie te doen? Bijvoorbeeld: Dit is Mark en hij is een van onze lasspecialisten! Zorg er voor dat de organisatie een social media code heeft, zodat dit beleid voorafgaande aan de aanstelling van de medewerker duidelijk kan worden gemaakt. Gegevens gebruiken voor de uitvoering van de loonadministratie is natuurlijk duidelijk een functie, die binnen de arbeidsrelatie past en waarvoor geen aparte toestemming nodig is, maar privé e-mailadressen geven aan commerciële partijen, is wel een functie waarvoor specifieke toestemming nodig is.

3. Het gebruik van persoonsgegevens is gekoppeld aan een doel

Indien toestemming is gegeven voor het gebruik van gegevens, dan is die toestemming alleen van toepassing op het doel waarvoor die toestemming is verkregen. Dus stel dat uw organisatie een nieuwe pensioenverzekering moet afsluiten, dan kan aan de medewerkers toestemming worden gevraagd om de persoonsgegevens aan een aantal marktpartijen te geven om goede offertes en berekeningen te maken. De toestemming geldt dan alleen voor dat doel. Het is dan niet toegestaan deze persoonsgegevens ook te gebruiken voor banken om hypotheken aan te bieden. Een ander voorbeeld, als een klant toestemming geeft om mailingen toe te sturen, dan geldt die toestemming niet voor gebruik van gegevens op de sociale media voor online marketing. Het doel is leidend.

4. Information Security Management Systeem moet voldoen aan GDPR/AVG

Wat betekent dit voor uw organisatie en voor de beheersing van processen? Om te beginnen een uitgebreide inventarisatie van alle processen en de identificatie van gegevens en het gebruik van die gegevens. De praktijk leert dat informatie op veel plekken wordt bewaard, maar op nog veel meer plekken terecht komt. Via kopiëren, mailen, datadragers, laptops en back-up systemen stroomt informatie naar veel locaties. Het Information Security Management System (ISMS) vormt een structuur van regels, kaders en processen, die er voor moet zorgen dat informatie in processen wordt beheerst. Het ISMS moet zo zijn ontworpen dat wordt voldaan aan de AVG.

5. Compliance officer werkt samen met kwaliteitsmanager en managers

De functionaris die hierin een hoofdrol speelt, is de compliance officer. Deze functionaris toetst, stelt regels en maakt (risico)analyses. De samenwerking met andere managers is intensief. In kleinere organisaties wordt deze rol vaak uitgevoerd door de kwaliteitsmanager of een information security officer. Er bestaan veel verschillende namen, maar de inhoud van de functie is vergelijkbaar. De compliance officer volgt de wetgeving en adviseert de organisatie of de praktische toepassing in processen. Vanzelfsprekend ligt deze rol dicht bij de rol van de kwaliteitsmanager en de HR Manager.

ISO 27001 vraagt te voldoen aan de wet en leidt tot procesanalyses

De norm ISO 27001 schrijft om te beginnen voor uit te zoeken welke wetgeving van toepassing is op uw organisatie, om daarna aan die wetgeving te voldoen. De AVG geldt voor iedere organisatie. Net als de verplichting om de privacy van medewerkers in het algemeen te eerbiedigen. Met deze uitgangspunten moet een inventarisatie worden gemaakt van alle processen en de informatie in die processen. De norm ISO 27001 biedt hiertoe een lange, maar handige checklist in bijlage A van de norm. Daarnaast kunt u uw eigen kwaliteitshandboek doorlopen, waarin - als het goed is - ook praktisch alle processen worden benoemd. Via die procesbeschrijvingen kan eveneens de inventarisatie worden gemaakt. Overigens wordt meestal allebei gedaan.

Wilt u de nulmeting GDPR uitvoeren? Laat het ons weten. Vul onderstaande formulier in of stuur een e-mail naar info@patagonia-bv.com. U kunt natuurlijk ook bellen via 088 33 666 66.

training coaching management

Diensten

Bekijk onze diensten

Lees meer

Oplossingen

Oplossingen

Ga naar de oplossingen

Lees meer

Artikelen

Artikelen

Lees meer artikelen

Lees meer

TQM

Cases

Bekijk voorbeelden

Lees meer

Stel uw vragen

Vul het formulier in en stel uw vragen.

GDPR compliance:

  • Richtlijnen GDPR/AVG toepassen
  • ISO 27001 gebruiken
  • Informatie beveiligen
  • Informatie classificeren
  • Voldoen aan richtlijnen
  • Compliance wetgeving
  • Certificatie ISO 27001
  • Informatiebeveiliging
  • Reductie risico's