Onrealistisch scenario? Het komt vaker voor dan je misschien denkt. Net als de laptop die uit een auto wordt gestolen, terwijl die ‘veilig’ in een parkeergarage staat. Of een computer die gehackt wordt omdat je op een ogenschijnlijk veilige link hebt geklikt. Er zijn talloze voorbeelden, die we helaas in de praktijk terug horen. Het afgelopen jaar heb ik veel gesproken met retailers over de nieuwe AVG wetgeving die per 25 mei 2018 intrad en welke gevolgen deze wet kan hebben voor een organisatie. Ook fashion-, sport- en schoenenondernemers hebben hier immers mee te maken, omdat er bijvoorbeeld klantgegevens worden vastgelegd in een automatiseringssysteem als Winstore.
Wat daarbij opvalt, is hoe vaak we nog horen dat retailers wel weten van de wetgeving maar dit weer ‘in de koelkast leggen’. Vaak vanwege het gevoel dat dit alleen relevant is voor grote bedrijven, of misschien omdat het aan tijd ontbreekt. Voor veel retailers lijkt de AVG wetgeving als een ver-van-mijn-bed-show te voelen en als gevolg daarvan krijgt het geen of te weinig prioriteit. Toch is dit gevoel niet terecht.
Niet alleen melden van datalekken, maar ook documenteren.
Sterker nog: verschillende belangrijke onderdelen rondom privacy gelden al veel langer. Een voorbeeld is de meldplicht Datalekken. Deze meldplicht, die al op 1 januari 2016 inging, houdt in dat iedereen die klantgegevens beheert, het moet melden als deze gegevens per ongeluk op straat belanden. Dit kan veroorzaakt worden door voorbeelden als die ik hierboven noem: een computer hack, het verliezen van een USB stick met gegevens, het kwijtraken van een laptop, etc.
De meldplicht die geldt sinds januari 2016 is nu nog steeds van kracht, maar is sinds 25 mei 2018 verscherpt: een organisatie moet het vastleggen van klantgegevens en datalekken
documenteren, zodat de Autoriteit Persoonsgegevens (AP) kan controleren of aan de meldplicht is voldaan. Zo niet, dan staan hier behoorlijke boetes tegenover. Dat dit geen loos alarm is, blijkt wel uit het feit dat er in Nederland al diverse dwangsommen zijn opgelegd én op Europees niveau ook al serieuze boetes.
Wie preventief veiligheidsmaatregelen neemt, verkleint de kans op een datalek aanzienlijk. Uit onderzoek is gebleken dat de meeste winst op het gebied van gegevensbeveiliging te behalen is in de operationele processen binnen een organisatie. Bij de meeste datalekken is een menselijke handeling namelijk de oorzaak.
Verantwoordingsplicht: hoe verwerkt jouw organisatie persoonsgegevens?
De AVG wetgeving zegt niet alleen iets over het documenteren en melden van datalekken: de nieuwe regels dwingen je om goed na te denken over hoe jouw organisatie überhaupt omgaat met het verwerken en beschermen van persoonsgegevens. Je hebt vanaf mei 2018 een verantwoordingsplicht. Zo moet je de gegevensverwerkingen van jouw bedrijf in kaart brengen en documenteren welke persoonsgegevens je verwerkt en met welk doel je dit doet, waar deze gegevens vandaan komen en met wie je ze deelt.
Heb je bijvoorbeeld expliciete toestemming van je klant om diens gegevens op te slaan? En heb je overeenkomsten met je leveranciers? Of een sluitende privacyverklaring op je website staan?
Op deze pagina leggen wij per onderdeel uit wat het precies betekent en wat je ermee moet doen als organisatie.
Vijf tips voor in de praktijk
Even terugkomend op het praktijkvoorbeeld waarmee ik dit stuk opende. Zoals ik al zei komen zulke situaties vaker voor dan je zou denken. Daarom vind je hieronder een aantal tips en aanbevelingen op een rij die je kunnen helpen bij het nadenken over praktische zaken in je bedrijf:
1. Mogen medewerkers zelf software downloaden en installeren op bedrijfsapparatuur zoals kassa’s en backoffice computers?Als medewerkers op eigen houtje software mogen installeren, zorgt dit voor kwetsbaarheden in de databeveiliging. Zorg er daarom voor dat dit niet is toegestaan op apparaten die toegang hebben tot persoonsgegevens.
2. Als ik een systeem (computer) vervang, worden dan alle persoonsgegevens daarop vernietigd? Het is aan te raden om bij het verkopen of vervangen van een pc ervoor te zorgen dat persoonsgegevens onleesbaar zijn gemaakt. Bestanden verwijderen betekent niet dat deze niet meer terug te vinden zijn op de harde schijf. Zorg dat de data overschreven worden of maak de gegevensdragers in zijn geheel onbruikbaar. Vergeet vooral ook de printer niet - die hebben vaak nog duizenden print- en scanopdrachten in het geheugen staan.
3. Weten alle medewerkers dat (kopieën van) bestanden met persoonsgegevens na gebruik van lokale apparatuur en externe gegevensdragers verwijderd moeten worden?Soms is het noodzakelijk dat bepaalde medewerkers tijdelijk een kopie van een klantbestand krijgen. Denk aan het maken van een export van e-mailadressen uit je CRM, om deze vervolgens te uploaden in Mailchimp of een ander e-mailprogramma. Het is dan aan te raden medewerkers te instrueren de kopie te verwijderen, zowel van lokale apparatuur als eventuele externe gegevensdragers als USB-sticks etc.
Het is belangrijk dat iedereen zich ervan bewust is dat ze zorgvuldig met dit soort bestanden moeten omgaan, zodat onbevoegden er niet bij kunnen.
4. Zorg voor back-ups! Zorg voor een dagelijkse back-ups van gegevens, inclusief databases en configuratiebestanden, op een off-site locatie. ACA kan hierin ondersteuning bieden door het leveren van de dienst Online back-up.
5. Wifi in de winkel
Mocht je een Wifi netwerk hebben in de winkel, zorg dan altijd voor een apart gastennetwerk waarbij je klanten wél internettoegang hebben, maar geen toegang tot het hoofdnetwerk van de router. Ook hierin kan ACA een advies uitbrengen.
Dit artikel is geschreven door Randy Charleston, werkzaam bij ACA als Accountmanager Winstore. Wil je meer weten over ACA en hoe wij je kunnen helpen met jouw automatiseringsvraag? Lees dan meer over onze expertise of neem contact met ons op.