Tag archieven: organisatie

Privacy en de holistische aanpak

Geplaatst op door

Privacy wordt in haar praktische uitvoering heel vaak benaderd vanuit 2 invalhoeken, te weten de technische invalshoek en de juridische invalshoek.

Dit is heel goed te merken aan de achtergrond van vele DPO’s, die ofwel een achtergrond hebben in informatica, aangevuld met bijkomende certificaten zoals CISO ofwel een juridische achtergrond hebben, al dan niet met een specialisatie in IT-recht.

Nochtans is privacy en het beschermen van de persoonsgegevens meer dan enkel maar regels of informatica.

Uit de praktijk blijkt dat het blokkeringspunt, niet altijd het gebrek aan regels is of dat de genomen beveiligingsmaatregelen en de geïmplementeerde informatica-architectuur ontoereikend is, maar wel de mensen zelf.

Lees verder

Quick wins

Geplaatst op door

Organisaties hebben soms vaak de neiging om zich enkel te focussen op “Quick wins”.

Is, in het kader van de bescherming van persoonsgegevens, zich louter focussen op “quick wins” wel een goed idee?

Wat zijn “Quick wins”?

Quick wins zijn snel implementeerbare verbeteringen die men aanbrengt aan, doorgaans kleine, tekortkomingen bij de bescherming van persoonsgegevens.

Organisaties opteren hier o.a. voor om te kunnen aantonen dat zij wel “iets” ondernemen om tekortkomingen te verbeteren, en dat zij de privacy van de personen wiens persoonsgegevens ze verwerken au-serieux nemen.

Lees verder

Organisatie

Bij de holistische benadering van privacy wordt er niet enkel rekening gehouden met de wetgeving noch met security, maar met de ganse organisatie.

Dit betekent dat het beleid dat de organisatie voert, haar processen, haar cultuur en haar informatica afgestemd moeten zijn om de privacy van de mensen wiens persoonsgegevens ze verwerkt beschermt.

Indien een of meerdere van deze elementen niet is afgestemd om persoonsgegevens te beschermen, dan zal de organisatie falen om de privacy van de mensen te garanderen en te beschermen.

Het definiëren en configureren van deze verschillende elementen (beleid, processen, cultuur, informatica en security) kan men niet doen met standaardoplossingen, het is ook geen assemble-to-order maar eerder make-to-order, dus maatwerk.

Bloep, 22 augustus 2025.

Privacy beleid – intenties versus haalbaarheid

Geplaatst op door

Grote organisaties maken vaak iedere 3 tot 5 jaar beleidsplannen op waarin zij hun voorgenomen intenties kenbaar maken voor de eerstkomende 3 tot 5 jaar, zowel aan hun medewerkers als aan derden.

Deze beleidsplannen beschrijven hoe de organisatie de toekomst ziet, welke doelstellingen zij voor ogen heeft, en hoe zij zal trachten deze doelstellingen te verwezenlijken.

Zij bevatten ook een reden waarom de organisatie welbepaalde doelstellingen probeert te verwezenlijken.

M.a.w. een beleidsplan is een instrument voor planning, de verantwoording van de voorgenomen intenties en de communicatie aan de stakeholders van de organisatie.

Privacy en planning

Organisaties die veel (gevoelige) persoonsgegevens verwerken zouden ook een Privacy beleid moeten hebben.

Lees verder

Privacy – de holistische benadering

Geplaatst op door

In de praktijk rond privacy komt men doorgaans 2 tendensen tegen.

Enerzijds zijn er de informatici, meestal met een achtergrond in security, zoals CISO gecertificeerde IT-mensen, en anderzijds zijn er de pure regelgeving georiënteerde beoefenaars, doorgaans juristen of advocaten die een certifiering als DPO hebben bekomen.

In de praktijk komt men echter weinig mensen tegen die privacy benaderen vanuit een holistisch perspectief.

M.a.w. mensen die niet enkel rekening houden met security noch met regelgeving, maar ook met organisatie, beleid, processen en cultuur.

Lees verder

Processen

Waken over de veiligheid, integriteit, vertrouwelijkheid, … van de persoonsgegevens die u als verwerkingsverantwoordelijke verwerkt vereist duidelijk uitvoerbare procedures en processen.

Als verwerkingsverantwoordelijke moet u immers kunnen aantonen dat de nodige technische en organisatorische maatregelen werden genomen om te voldoen aan de GDPR verordening.

M.a.w. u heeft bovenop uw bestaande procedures en processen nog eens de administratie, documentatie en het beheer van deze procedures en processen.

Certificaten van gekende organisaties zoals ISO kunnen een vermoeden scheppen dat u als verwerkingsverantwoordelijke voldoet aan deze voorwaarden.

Incorporatie in bestaande procedures en processen

Iedere procedure en ieder proces waarbij persoonsgegevens worden verwerkt moet rekening houden met en maatregelen voorzien die de veiligheid, integriteit, vertrouwelijkheid, etc. garandeert.

Hiertoe behoren niet enkel technische maatregelen voorzien in de software zoals dubbele checks van de ingevoerde gegevens alvorens die gegevens naar de databank worden weggeschreven, het wegschrijven van controle- of auditdata in aparte tabellen van de databank, maar ook de nodige bijkomende procedures wanneer er een incident is waarbij persoonsgegevens zijn betrokken.

Aangifte en registratie van incidenten en datalekken

Ieder proces of procedure waarbij persoonsgegevens worden verwerkt zal een bijkomend onderdeel moeten krijgen, namelijk voor de gevallen waarbij een incident of een datalek moet worden aangegeven of geregistreerd.

De volgende gegevens zijn daarbij o.a. belangrijk om te worden meegegeven voor aangifte en registratie:

  • over wie gaat het (dus de betrokkene(n));
  • op welk exact tijdstip deed het datalek of incident zich voor;
  • waar deed zich het datalek of incident voor;
  • welke persoonsgegevens werden er gelekt of maken deel uit van het incident;
  • zijn er eventueel reeds maatregelen, en zo ja dewelke, genomen om het datalek of incident te beperken.

Verder moet men ook vooraf weten waar, dus in welke systemen, de registratie en aangifte moet gebeuren, en door wie dit moet worden uitgevoerd.

Gecentraliseerde of gedecentraliseerde aangifte en registratie

Gecentraliseerde aangifte en registratie van incidenten en datalekken heeft een belangrijk voordeel voor organisaties, omdat slechts één bepaalde persoon of dienst deze activiteit uitoefent.

Het nadeel daarentegen is dat deze maatregel meestal niet haalbaar is voor kleine organisaties. Bovendien kunnen er zich ook problemen voordoen indien deze ene persoon afwezig is, bijvoorbeeld wegens ziekte of vakantie.

Grote organisaties daarentegen kunnen er een team voor inzetten, al dan niet rond de DPO, in een zogenaamde DPO-office. Dit verhoogt weliswaar de kostprijs voor deze grote organisaties om in orde te zijn met hun verplichtingen inzake de GDPR.

Een gedecentraliseerde oplossing waarbij de aangifte en registratie van een incident of datalek gelegd wordt bij de persoon die de procedure of proces uitvoert heeft wel enkele voordelen in vergelijking met de gecentraliseerde aangifte en registratie.

Vooreerst is er tijdswinst. Immers de verwerkingsverantwoordelijke heeft 72 uur de tijd om bij een inbreuk met betrekking tot persoonsgegevens aangifte te doen bij de Gegevensbeschermingsautoriteit, tenzij het weinig waarschijnlijk is dat de inbreuk een risico vormt voor de privacy van de betrokkene.

Ten tweede, de eigenaar van het proces of procedure kant het best de omstandigheden waarin het incident (hem of haar werd gerapporteerd door een derde) evenals de procedure en het proces van verwerking zelf.

Het nadeel van de gedecentraliseerde aangifte of registratie is wel dat de eigenaar van de procedure of het proces soms kan vergeten, aangezien het niet zijn/haar kerntaak is, de aangifte of registratie te doen.

Opleiding

Organisaties moeten ook procedures voorzien voor het opleiden en onderhouden van de kennis en de risico’s bij het verwerken van persoonsgegevens bij hun personeel die persoonsgegevens verwerken voorzien.

Bloep, 11 juni 2025.