Bescherming persoonsgegevens: voorkom deze 3 veelgemaakte fouten

Bescherming persoonsgegevens: voorkom deze 3 veelgemaakte fouten

Als bedrijf wil je niet dat de persoonsgegevens die je verwerkt op straat komen te liggen. Buiten de hoge boetes die ervoor opgelegd worden is een reputatieschade ook niet wenselijk natuurlijk. Een fout waardoor persoonsgegevens niet meer voldoen aan de wet van bescherming persoonsgegevens is al snel gemaakt. Wij leggen de meest voorkomende fouten aan je voor later in dit artikel, maar eerst leggen we je uit wat persoonsgegevens zijn en wat het verwerken van persoonsgegevens inhoudt.

Key Takeaways

  • Een “persoonsgegeven” is informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Dat wil zeggen alle gegevens waarmee een natuurlijk persoon kan worden geïdentificeerd.
  • Het ‘verwerken’ van persoonsgegevens omvat alle denkbare handelingen met persoonsgegevens, zoals het verzamelen, opslaan, structureren, testen, analyseren, gebruiken, bijwerken, corrigeren, opvragen, doorsturen, beschikbaar stellen, vernietigen en verwijderen.
  • De 3 meest voorkomende fouten rondom bescherming van persoonsgegevens zijn:
    1. Het is niet duidelijk binnen de organisatie met welke derden persoonsgegevens worden gedeeld
    2. Medewerkers zijn niet op de hoogte van de regels omtrent de wet bescherming persoonsgegevens.
    3. Medewerkers zijn niet op de hoogte van de regels omtrent het ontvangen en opslaan van identiteitsbewijzen.
  • Door het inzetten van data anonimisering en data maskeren voorkom je fouten in het beschermen van persoonsgegevens.

Beveiliging van persoonsgegevens in Nederland

De AVG heeft een aantal regels opgesteld ter beveiliging van persoonsgegevens. Echter is het door alle regels op het gebied van informatiebeveiliging en gegevensbescherming voor bedrijven en organisaties, ongeacht hun omvang, een uitdaging om aan alle regels te voldoen. Dit is met name terug te zien in de grote hoeveelheid datalekken in de afgelopen jaren. In 2021 waren er in totaal 24.866 meldingen van datalekken bij de AP. Dat is 4% meer dan in 2020 (Autoriteit persoonsgegevens, 2022).

Ondanks dat de stijging klein is, staat Nederland met dit hoge aantal meldingen in de top 3 landen van Europa met het grootste aantal meldingen van datalekken (Autoriteit persoonsgegevens, 2022).

Het meest zorgwekkende van de cijfers is echter dat het aantal cyberaanvallen in 2021 met 88% is gestegen ten opzichte van 2020 (Autoriteit persoonsgegevens, 2022). Later in deze blog vertellen we je precies hoe jouw bedrijf de kans op cyberaanvallen kan verkleinen.

Benieuwd of jouw bedrijf de veiligheid van verzamelde persoonsgegevens in orde heeft?

Wat zijn persoonsgegevens?

Een “persoonsgegeven” is informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, dat wil zeggen alle gegevens waarmee een natuurlijk persoon kan worden geïdentificeerd. Bij NAW-gegevens en herkenbare afbeeldingen zoals pasfoto’s is het direct duidelijk om welke persoon het gaat.

In andere gevallen gaat het om herleidbare informatie naar een bepaald persoon. Dat betreft alle informatie die u kunt linken aan een persoon via een database. Gegevens die in eerste instantie misschien geen persoonsgegevens lijken, kunnen dat dus wel zijn. Denkt hierbij aan: BSN-nummers, (mobiele) telefoonnummers, IP-adressen.

Wat is het verwerken van persoonsgegevens?

In bijna ieder bedrijf of organisatie worden persoonsgegevens verwerkt. Het ‘verwerken’ van persoonsgegevens omvat alle denkbare handelingen met persoonsgegevens, zoals het verzamelen, opslaan, structureren, testen, analyseren, gebruiken, bijwerken, corrigeren, opvragen, doorsturen, beschikbaar stellen, vernietigen en verwijderen.

Maar ook meer passieve handelingen, zoals de enkele aanwezigheid van de gegevens op uw servers, vallen onder het begrip “verwerken” in de zin van de AVG. Het is verboden om bijzondere persoonsgegevens te verwerken, tenzij er een wettelijke uitzondering is. Bijzondere persoonsgegevens zijn gevoelige gegevens zoals iemands ras, godsdienst of gezondheid.

 

“Nederland staat in de top 3 van landen in Europa met het grootste aantal meldingen van datalekken.”

 

De 3 meest voorkomende fouten

Een fout is menselijk maar bij het verwerken van persoonsgegevens kan een fout cruciaal zijn. Daarom zetten wij de meest voorkomende fouten die bedrijven maken voor je op een rijtje:

    1. Het is niet duidelijk binnen de organisatie met welke derden persoonsgegevens worden gedeeld.
    2. Medewerkers zijn niet op de hoogte van de regels omtrent de wet bescherming persoonsgegevens. 
    3. Medewerkers zijn niet op de hoogte van de regels omtrent het ontvangen en opslaan van identiteitsbewijzen. 

1) Weten met wie gegevens worden gedeeld?

Is het binnen jouw organisatie inzichtelijk met wie jullie persoonsgegevens worden verwerkt, gedeeld en opgeslagen? Wie buiten de organisatie, zoals een boekhouder, ict’er of zzp’er kan er bij deze gegevens?

Volgens de AVG dient er met alle derden die toegang hebben tot persoonsgegevens die je verwerkt een verwerkersovereenkomst en een geheimhoudingsverklaring afgesloten te worden.

 

2) Zijn medewerkers op de hoogte van het beleid?

Als organisatie heb je waarschijnlijk goed geïnvesteerd in de veilige opslag van gegevens en is er hoogstwaarschijnlijk een beleid met betrekking tot privacy en persoonsgegevens uitgeschreven. Maar zijn alle medewerkers daar ook van op de hoogte? Weet de telefonist(e) bijvoorbeeld iets af van AVG of GDPR. Weet hij of zij dat namen en telefoonnummers niet aan derden doorgegeven mogen worden?

Uit onderzoek blijkt dat een derde van de Nederlandse werknemers niet weet of er binnen het bedrijf waar ze werken aan de regels van de AVG wordt voldaan (IB & P, 2019). Een privacybeleid kan alleen uitermate goed werken als het draagvlak heeft binnen de gehele organisatie.

 

3) Ontvangen en opslaan van ID-bewijzen?

Bij veel bedrijven en organisaties wordt aan klanten, medewerkers en soms leveranciers een kopie van het rijbewijs of identiteitsbewijs gevraagd toe te sturen bij bijvoorbeeld onboarden. Dit mag in principe alleen als er een wettelijke grond is om deze documenten op te vragen, bijvoorbeeld bij financiële instellingen om te bewijzen dat ze aan de wettelijke identificatieplicht hebben voldaan of bij uitzendbureaus om een identiteit te verifiëren bij inschrijving.

Deze instanties zijn hierbij wel verplicht om aan een klant toe te lichten waarom een kopie/scan noodzakelijk is of op basis van welke wettelijke verplichting de instantie een volledige kopie/scan zal moeten maken.

Benieuwd of onze software fouten bij u kan voorkomen? Vraag hier meer informatie over onze producten om te kijken of ze geschikt zijn voor uw organisatie.

De oplossing: data anonimiseren of maskeren

Veel van onze klanten zijn zich ervan bewust geworden dat ze documenten ontvangen, opslaan, bewaren en dus verwerken, waarin persoonsgegevens nog zichtbaar zijn voor de gehele of een groot deel van de organisatie. Inmiddels zijn deze klanten ‘schoongelakt’ door de software van DataFactory of FileFactory haar werk te laten doen.

Indien jouw organisatie ook op het punt staat om de strategie met betrekking tot het verwerken van persoonsgegevens aan te scherpen, neem dan gerust eens contact met ons op voor het wegpoetsen (lees anonimiseren of maskeren) van gevoelige data in uw database of documenten.

Gevoelige data snel maskeren?