Behandel data dan ook als het nieuwe goud


Al jaren roepen we collectief dat data het nieuwe goud is. We kunnen er van alles mee: efficiëntiewinst, kostenreductie en betere (beleids)keuzes maken. Data is de toekomst.

Ook de ICT Benchmark Gemeenten van 2021 van M&I/Partners geeft aan dat datagedreven werken bovenaan de agenda staat van bijna elke deelnemende gemeente.

Kroonjuweel 

In de praktijk staan informatiebeveiliging en privacy echter nog te vaak op de agenda als: “Zolang we er maar geen last van hebben” en “Als we maar minimaal voldoen aan de wetgeving, is het goed”.

Gek, want dataverzameling is niet langer bijvangst of iets van de toekomst. Data is (nu al) je kroonjuweel. En die leg je niet achter een stukje kippengaas, maar stop je in een kluis. Soms huur je er zelfs een bewaker voor in.

Vijf tips

Hoe zorg je dat data ook werkelijk beveiligd wordt in lijn met de waarde die het heeft? Wij geven vijf tips om te zorgen dat de verantwoordelijkheid, protocollen, risico's, bewustwording en het belang van informatiebeveiliging en privacy geborgd worden in de organisatie.

  1. Zorg dat de verantwoordelijkheden duidelijk zijn.
    Spreek duidelijk af wie voor wat verantwoordelijk is binnen jouw organisatie. Wie is verantwoordelijk voor het zaaksysteem? En voor Suwinet? Wie is verantwoordelijk voor de bewustwording onder de medewerkers? Het uitleggen wat een datalek is? Wie zorgt ervoor dat het contact met leveranciers goed verloopt en controleert ze op de gemaakte afspraken? 
  2. Zorg dat de protocollen duidelijk, bondig, leesbaar en vindbaar zijn.
    Een stroomdiagram of afbeelding zegt vaak meer dan 1000 woorden.
  3. Breng de risico’s duidelijk in kaart.
    Welke risico’s heb je aan de personeelskant zitten? Bij de uitbesteding van je diensten? Welke aan de systeemkant? En welke risico’s accepteer je? En op welke tref je maatregelen? En wie is er dan verantwoordelijk voor het risico en de maatregelen?
  4. Creëer bewustwording bij iedereen in de organisatie.
    Informatiebeveiliging en privacy zijn niet enkel de taak van de functionarissen. Het kan op alle lagen van de organisatie goed of fout gaan. Zijn de autorisaties op orde? Ook bij uitdiensttreding? En bij het wisselen van functie? Worden er niet zomaar documenten achtergelaten? Deuren opgehouden? Worden de archiefkasten op slot gedaan?
  5. Informatiebeveiliging en privacy zijn geen “moetje”.
    Betrek de juiste mensen al vroeg in processen en projecten en niet pas op het laatste moment. Of erger: helemaal niet. Dit brengt namelijk risico’s met zich mee. Zijn de afspraken met leveranciers duidelijk? Voldoet het project aan de privacy- en informatiebeveiligingseisen? Is het opgenomen in het verwerkingsregister?

Dus?

Als we echt willen dat data het nieuwe goud wordt, moeten we het ook zo behandelen. Ga dus niet voor een zesje als het gaat om de bescherming van je data.

Meer weten?

Ik ga graag met je in gesprek.



Terug naar het overzicht

Verplichte risico- en informatie-analyse: DPIA's

Ons DPIA-model brengt structuur in de wettelijke vereisten en nodigt uit om hier pragmatisch en effectief mee aan de slag te gaan.

Ontdek het model

Gerelateerde publicaties

M&I/Partners ondersteunt diverse zorginstellingen en overheidsorganisaties met de implementatie van de nieuwe privacywet. De AVG is per 25 mei van kracht gegaan. Een goed moment om onze ervaringen te delen én vooruit te kijken. Wij geven u enkele tips voor een betrouwbare digitale overheid met behulp van de AVG.

Lees verder

DPIA: op verwerkingen met mogelijk hoge risico’s is het onder de AVG verplicht een DPIA uit te voeren. Een gesprek dat ik vaak met klanten voer is of een DPIA op een proces of een applicatie uitgevoerd zou moeten worden. De opvattingen verschillen hier per organisatie nogal over. Vanuit mijn werk heb ik vier argumenten om DPIA’s op procesniveau uit te voeren.

Lees verder