Privacy

Hebt u een ICT- en privacybeleid voor uw organisatie nodig?

Organisaties dienen garant te staan voor een werkomgeving die aan de privacywet voldoet. In de praktijk kunnen ze dit vaak niet, omdat hun ‘beleid’ een samenraapsel is van losse puzzelstukjes. Gaat dit ook op voor uw organisatie?

Iedere organisatie dient zich het volgende af te vragen: hebt u een ICT- en privacybeleid waarin duidelijke afspraken tussen medewerkers en directie zijn opgenomen? Welke persoonsgegevens slaat u op, hoe lang bewaart u deze en hebben de betrokken partijen hiervoor toestemming gegeven? Is alles goed geregeld, terwijl uw medewerkers toch niet het gevoel hebben dat ze worden gecontroleerd? Wat zijn de spelregels omtrent het gebruik van social media? Worden schadelijke beelden of ongewenste games en websites gefilterd?

Hoewel deze vragen er eenvoudig uitzien, kunnen veel organisaties hier moeilijk een eenduidig antwoord op geven.

Welke elementen bevat een ICT- en privacybeleid?

Een ICT- en privacybeleid omvat meestal beleidsdocumentatie, maar ook afspraken over verschillende elementen, zoals:

  • Gebruik van mobiele apparatuur, software en hardware;
  • Monitoren, registreren, loggen, rapporteren en verwerken;
  • Reglementen omtrent ICT-gebruik en privacy;
  • E-mail- en internetgebruik voor privédoeleinden tijdens werkuren;
  • Autorisatie en geheimhouding;
  • Procedures die bedoeld zijn voor het voldoen aan wettelijk gestelde criteria.

De ontwikkeling, controle en handhaving van uw beleid moeten volledig voldoen aan de eisen die door de privacywetgeving zijn gesteld.

Welke implicaties heeft de privacywetgeving voor uw organisatie?

De hoogste prioriteit binnen iedere organisatie moet de beveiliging van persoonsgegevens zijn. Wie datalekken wil voorkomen, dient verschillende technische en organisatorische voorzorgsmaatregelen te treffen. Wilt u een goede start maken, ontwikkel dan eerst een overkoepelend ICT-beleid. Besteed hierbij voldoende aandacht aan de wijze waarop uw organisatie met persoonsgegevens omgaat. Als het ICT- en privacybeleid van uw organisatie te wensen overlaat, zou u namelijk een boete kunnen krijgen voor nalatigheid. Houd daarom bijvoorbeeld goed in de gaten wanneer de meldplicht geldt; meestal is dat veel eerder dan u zou denken!

ICT- en privacybeleid: waarom gaat het mis binnen bedrijven?

In het (vak)nieuws wordt dit onderwerp steeds meer belicht. Desondanks zijn er niet veel organisaties die hun ICT- en privacybeleid op orde hebben. Dit meest voorkomende redenen hiervoor zijn:

  • Het beleid staat laag op de prioriteitenlijst en leeft niet echt;
  • Er is onvoldoende kennis omtrent juridische risico’s;
  • De juridische en technische complexiteit is moeilijk te bevatten én wet- en regelgeving is sterk aan verandering onderhevig;
  • De organisatie in kwestie inventariseert niet waar persoonsgegevens worden opgeslagen en verwerkt, waardoor zij niet precies weet wie deze kan inzien;
  • Er bestaan geen duidelijke regels voor de verwerking van persoons- en personeelsgegevens;
  • Het verstrekken van persoonsgegevens aan derden geschiedt zonder toestemming van de betrokkenen en zonder de aanwezigheid van correcte bewerkersovereenkomsten;
  • Er wordt niet gewerkt met een ICT-gebruiksreglement, een privacyreglement of een socialmediareglement.

Herkent u zich hierin? Dan is het tijd om intern een verantwoordelijke aan te stellen voor het ICT- en privacybeleid. Daarnaast kunt u, indien nodig, ook externe hulp inschakelen. Een ICT-dienstverlener, jurist of brancheorganisatie kan u vaak van dienst zijn.

Werken zonder ICT- en privacybeleid: wat zijn de mogelijke gevolgen?

Hebt u geen ICT- en privacybeleid, dan kan dit vergaande consequenties hebben voor uw organisatie. Een datalek leidt bijvoorbeeld gauw tot merk-, reputatie- of imagoschade. En als u op arbeidsrechtelijk gebied corrigerend moet optreden, stuit u al snel op juridische beperkingen. Een aantal andere gevolgen waarmee u te maken kunt krijgen:

  • Een ICT-netwerk dat instabiel is als gevolg van onbeperkt gebruik van data, logs, privéapplicaties en bandbreedte;
  • Een niet aan banden gelegd gebruik van privéapparaten, wat een verhoogd risico op malware, spam, virussen en het gebruik van illegale software met zich meebrengt;
  • Het risico om aansprakelijk te worden gesteld door de BSA, omdat er binnen je organisatie illegale software wordt gebruikt.

Hebt u hulp nodig bij het opstellen van een sluitend ICT- en privacybeleid? Neem gerust eens contact met ons op!