Persoonsgegevens beveiligen met ISO 27001
In organisaties gaat dagelijks een grote hoeveelheid gegevens om. Via e-mail, servers, dossiers, printers, portals, social media en vele andere kanalen worden data van de ene plek naar de andere gebracht, worden ze gekopieerd of gewoon ingekeken. ISO 27001 gaat over de beveiliging van die informatie en voor persoonsgegevens geldt tegelijkertijd de Algemene Verordening Gegevensbescherming (AVG). Hoe voldoet uw organisatie aan de AVG, wordt bureaucratie voorkomen en kan de organisatie voldoen aan ISO 27001? Lees de oplossingen.
De stappen voor bescherming van de persoonsgegevens met ISO 27001
ISO 27001 stelt naast allerlei beveiligingsrichtlijnen ook dat organisaties aan de wet moeten voldoen. Dus ook aan de Algemene Verordening Gegevensbescherming (AVG) of de General Data Protection Regulation (GDPR). Door aan de wet te voldoen, voldoet de organisatie ook aan ISO 27001. We leggen uit wat de stappen zijn en hoe u uw organisatie kunt certificeren en persoonsgegevens kunt beschermen.
Maak informatiebeveiliging en wetgeving onderdeel van één managementsysteem:
- Voorbeelden van processen met persoonsgegevens
- De norm ISO 27001 als richtlijn voor informatiebeheersing
- Procedures borgen om informatie te beveiligen
- Organisatie inrichting en proces design samen voegen
- Informatie is overal en kan overal naar toe
- Resultaat is dat geen kosten of fouten mogen ontstaan
1. Voorbeelden van processen met persoonsgegevens
Voordat we ons in de theorie en de praktijk verdiepen eerst enkele voorbeelden van interessante vraagstukken, waar veel organisatie mee te maken heeft. De dagelijkse praktijk:
- Een klant van u vraagt een curriculum vitae van één van uw medewerkers om te kunnen beoordelen hoe goed deze medewerker is gekwalificeerd. Kunt u die geven?
- U wilt informatie over uw medewerkers op de website gebruiken en op Twitter voor de PR van uw organisatie. U denkt daar voordeel mee te behalen en het is leuk voor de medewerkers. Mag dat?
- U neemt op een onplezierige manier afscheid van een medewerker, die op zijn LinkedIn profiel met al uw klanten een connectie heeft. Mag u eisen dat hij deze verwijdert?
- Een medewerker gaat op cursus VCA. Tijdens de cursusdagen is het erg gezellig en op zijn Facebook worden allerlei uitspattingen gedeeld, die geen reclame zijn voor uw organisatie. Kunt u hier iets tegen doen?
- Uw HR manager is ziek, maar de gegevens uit het personeelsdossier van een medewerker zijn nodig op de administratie om een account aan te maken. Mag de manager het dossier even pakken?
Zo zijn er nog eindeloos veel praktijkvoorbeelden te schetsen. De vraag die wellicht bij u opkomt: Waarom staan deze voorbeelden op de website van een managementadviesbureau? Hoort dit onderwerp niet bij een advocatenkantoor? Een advocaat is zeker nodig als het misgaat, maar eerst gaat het er om de organisatie van te voren goed en efficiënt in te richten, zodat problemen worden voorkomen. Dat is een uitdaging, want informatie is in alle operationele processen aanwezig. Van Verkoop tot en met het Transport van goederen. Het is gemakkelijk allerlei spelregels af te spreken, protocollen te ontwerpen, handboeken te schrijven en beveiligingen in te bouwen, maar het moet natuurlijk werkbaar blijven. Data moet veilig zijn, als randvoorwaarde, maar de organisatie mag niet vastlopen in bureaucratie, formaliteiten en onnodige blokkades. Medewerkers moeten hun werk kunnen doen en tegelijkertijd mogen er geen risico's ontstaan.
2. De norm ISO 27001 als richtlijn voor informatiebeheersing
Er bestaan twee belangrijke, gestandaardiseerde normen voor informatiebeveiliging: De normen ISO 27001 en ISO 27018. Het zijn beide normen voor informatiebeveiliging en kunnen door iedere organisatie worden toegepast. In deze normen wordt naar wetgeving verwezen, waaraan iedere organisatie moet voldoen. Een van die wetten is de AVG, die gaat over de beveiliging van persoonsgegevens in geautomatiseerde systemen of bedrijfsprocessen. Daarnaast geldt voor persoonsgegevens die niet automatisch worden verwerkt of onder de AVG vallen het grondrecht op eerbiediging van ieders privacy. Zonder nu al te veel uit te wijden over de inhoud van de AVG komt de essentie er op neer dat gegevens van personen - persoonsgegevens - in geautomatiseerde systemen moeten worden beschermd en dat ze niet op een andere manier mogen worden gebruikt, dan voor het doel waarvoor toestemming is gegeven. Voorbeelden van persoonsgegevens zijn de eigen naam, evenals paspoortnummers, burgerservicenummer, geboortedatum en medische gegevens, maar ook foto’s, IP adressen, DNA en de financiële situatie. Deze en nog veel meer gegevens moeten worden beveiligd om de privacy van de persoon te waarborgen.
Persoonsgegevens, die zijn verzameld in het kader van het aangaan van een arbeidsrelatie, mogen in organisaties niet anders worden gebruikt dan voor het doel om de arbeidsrelatie uit te oefenen, tenzij expliciet toestemming wordt gegeven voor andere doelen. Dat is het punt: Is altijd duidelijk wanneer en hoe toestemming wordt gegeven? De regel is dat binnen de normale uitoefening van een arbeidsrelatie gegevens kunnen worden gebruikt, maar niet voor andere zaken, zoals commerciële doeleinden, omdat daarmee de privacy niet wordt gewaarborgd. ISO 27001 vraagt de processen en de risico's in de processen in beeld te brengen.
3. Procedures borgen om informatie te beveiligen
Een bekend voorbeeld is het personeelsdossier. Iedereen weet intuïtief dat dat dossier vertrouwelijke informatie bevat. Een medewerker geeft de werkgever toestemming zijn persoonlijke gegevens te zien, te verwerken en te bewaren voor het effectueren van de arbeidsrelatie. Dat is het doel. De HR Manager en de manager van de medewerker moeten dat doel kennen, zodat ze zich bewust zijn van de scope van het gebruik van de persoonsgegevens en wanneer grenzen worden overschreden. Voorbij die grenzen moet eerst toestemming worden gevraagd. Het doel moet aldus goed in de gaten worden gehouden. De processen waarin de informatie wordt gebruikt, zoals bijvoorbeeld het functioneringsgesprek of in de marketingprocessen worden ontworpen in lijn met de richtlijnen uit de wet. Managers houden zich hieraan en daarom moeten ze worden opgeleid in dit onderwerp.
4. Organisatie-inrichting en procesdesign samen voegen
Nu de organisatie-inrichting en de praktijk. Hoe kan een procedure zodanig worden ontworpen, dat de organisatie haar core-business goed en zorgvuldig kan uitvoeren en bureaucratie wordt voorkomen? Bijvoorbeeld een detacheringsbureau geeft informatie over een kandidaat om haar klanten te overtuigen van een goede match. De klant moet een goede beoordeling kunnen maken. Dat hoort bij het doel van de organisatie en is geoorloofd. Het verkoopproces van het detacheringsbureau wordt ontworpen conform de wettelijke richtlijn. Het verkoopproces wordt uitgewerkt in een flowdiagram, getoetst aan de wettelijke voorwaarden, waarna ook nog een risicoanalyse wordt gemaakt. Zo voldoet u aan zowel de wet als aan ISO 27001.
5. Informatie is overal en kan overal naar toe
Hoe gaat dat in andere dagelijkse processen, bijvoorbeeld in de marketing? Kunt u als organisatie een LinkedIn message plaatsen als: Mark Jansen uit Utrecht is onze beste medewerker en specialist op het gebied van lastechnieken. Bel hem voor vragen op zijn mobiele nummer: 06 12345678? Dat kan, als van te voren is geregeld welke procedures en afspraken gelden en wat het doel is. Deze procedures en afspraken worden bijvoorbeeld in een social media code vastgelegd als onderdeel van de bedrijfsvoorschriften of in arbeidsovereenkomsten. Zo worden twijfel en onduidelijkheid weggenomen.
Hoe is het dan met informatie van uw organisatie? Die valt niet onder de AVG. Stel, een medewerker schrijft zijn Facebook vol over de cursus VCA, die hij in uw opdracht en op uw kosten volgt. Zonder uw toestemming mag dat niet, omdat meestal in arbeidscontracten of bedrijfsreglementen richtlijnen staan over de externe communicatie van uw organisatie. De AVG is hierop echter niet van toepassing. U dient als werkgever uw huiswerk te doen en uw medewerkers duidelijk laten weten wat de regels zijn met betrekking tot de bedrijfsinformatie! Ook dat is onderdeel van ISO 27001.
6. Resultaat is dat geen kosten of fouten mogen ontstaan
Uw organisatie bestaat uit processen die continu moeten doorgaan. U wilt natuurlijk bereiken dat wel berichten op de sociale media worden geplaatst, namelijk positieve berichten, die goed zijn voor uw organisatie en een manager moet in een dossier kunnen kijken als dat nodig is. De richtlijnen van de wet/wetten worden omgezet in spelregels, die er voor zorgen dat processen kunnen doorlopen en verspillingen (Lean) worden voorkomen. Aan de wet moeten we nu eenmaal voldoen. Dat kunt u misschien vervelend vinden, maar er niet aan voldoen kan voor enorme kosten zorgen of tot grote schadeposten leiden. Daarom zijn de normen ISO 9001 en ISO 27001 ook geschreven in lijn met kwaliteitsmanagementregels, waarbij organisaties worden uitgenodigd de PDCA cirkel te laten draaien. De beide normen verlangen dat organisaties een mechanisme van continue verbetering implementeren en dat mechanisme is natuurlijk uw bestaande kwaliteitsmanagementsysteem. De afspraken kunt u vervolgens in procedures vervatten als onderdeel van het kwaliteitsmanagementsysteem. Dat leidt dan tot:
- Beveiligde informatie
- Rust en betrouwbaarheid
- Efficiëntie in de werkwijzen
- Voorkomen van incidenten of hoge kosten
- Certificatie desgewenst
- Alleen positieve PR
- Tevreden klanten of cliënten
Hulp bij de beheersing van informatieprocessen
We begrijpen dat het onderwerp in dit artikel met gemengde gevoelens wordt gelezen. Toch is er wel teveel onterecht emotie rond dit onderwerp. Zo ingewikkeld is het niet. Het is een kwestie van één keer goed ontwerpen en dan inrichten. We helpen met:
- Het uitvoeren van audits of onderzoeken
- Ontwerp en verbetering van procedures
- Inrichting van procedures/protocollen als onderdeel van het kwaliteitssysteem
- Medewerkers instrueren, trainen
- Documentatie en vastlegging verzorgen
- Social media code ontwikkelen, passend bij uw organisatie
- Personeelsbeleid ontwikkelen
- Bescherming van gegevens van personeel, patiënten en klanten
Heeft u vragen over de AVG of ISO 27001. Vraag direct om hulp. Of neem dan geheel vrijblijvend contact met ons op via 088 33 666 66, of stuur een e-mail naar info@patagonia-bv.com.