Behandel data dan ook als het nieuwe goud


Al jaren roepen we collectief dat data het nieuwe goud is. We kunnen er van alles mee: efficiëntiewinst, kostenreductie en betere (beleids)keuzes maken. Data is de toekomst.

Ook de ICT Benchmark Gemeenten van 2021 van M&I/Partners geeft aan dat datagedreven werken bovenaan de agenda staat van bijna elke deelnemende gemeente.

Kroonjuweel 

In de praktijk staan informatiebeveiliging en privacy echter nog te vaak op de agenda als: “Zolang we er maar geen last van hebben” en “Als we maar minimaal voldoen aan de wetgeving, is het goed”.

Gek, want dataverzameling is niet langer bijvangst of iets van de toekomst. Data is (nu al) je kroonjuweel. En die leg je niet achter een stukje kippengaas, maar stop je in een kluis. Soms huur je er zelfs een bewaker voor in.

Vijf tips

Hoe zorg je dat data ook werkelijk beveiligd wordt in lijn met de waarde die het heeft? Wij geven vijf tips om te zorgen dat de verantwoordelijkheid, protocollen, risico's, bewustwording en het belang van informatiebeveiliging en privacy geborgd worden in de organisatie.

  1. Zorg dat de verantwoordelijkheden duidelijk zijn.
    Spreek duidelijk af wie voor wat verantwoordelijk is binnen jouw organisatie. Wie is verantwoordelijk voor het zaaksysteem? En voor Suwinet? Wie is verantwoordelijk voor de bewustwording onder de medewerkers? Het uitleggen wat een datalek is? Wie zorgt ervoor dat het contact met leveranciers goed verloopt en controleert ze op de gemaakte afspraken? 
  2. Zorg dat de protocollen duidelijk, bondig, leesbaar en vindbaar zijn.
    Een stroomdiagram of afbeelding zegt vaak meer dan 1000 woorden.
  3. Breng de risico’s duidelijk in kaart.
    Welke risico’s heb je aan de personeelskant zitten? Bij de uitbesteding van je diensten? Welke aan de systeemkant? En welke risico’s accepteer je? En op welke tref je maatregelen? En wie is er dan verantwoordelijk voor het risico en de maatregelen?
  4. Creëer bewustwording bij iedereen in de organisatie.
    Informatiebeveiliging en privacy zijn niet enkel de taak van de functionarissen. Het kan op alle lagen van de organisatie goed of fout gaan. Zijn de autorisaties op orde? Ook bij uitdiensttreding? En bij het wisselen van functie? Worden er niet zomaar documenten achtergelaten? Deuren opgehouden? Worden de archiefkasten op slot gedaan?
  5. Informatiebeveiliging en privacy zijn geen “moetje”.
    Betrek de juiste mensen al vroeg in processen en projecten en niet pas op het laatste moment. Of erger: helemaal niet. Dit brengt namelijk risico’s met zich mee. Zijn de afspraken met leveranciers duidelijk? Voldoet het project aan de privacy- en informatiebeveiligingseisen? Is het opgenomen in het verwerkingsregister?

Dus?

Als we echt willen dat data het nieuwe goud wordt, moeten we het ook zo behandelen. Ga dus niet voor een zesje als het gaat om de bescherming van je data.

Meer weten?

Ik ga graag met je in gesprek.



Terug naar het overzicht

Verplichte risico- en informatie-analyse: DPIA's

Ons DPIA-model brengt structuur in de wettelijke vereisten en nodigt uit om hier pragmatisch en effectief mee aan de slag te gaan.

Ontdek het model

Gerelateerde publicaties

Burgers accepteren steeds minder en dienen vaker een klacht in bij de Autoriteit Persoonsgegevens. Privacy moet een structureel onderdeel zijn van je organisatie. Als de basis ontbreekt dan blijf je achter de feiten aanlopen. De basis zet je neer door het inrichten van een privacy governance.

Lees verder

Door een gebrek aan duidelijkheid schieten veel gemeenten in de kramp als het aankomt op de AVG. Door deze kramp, krijgen privacy en de AVG niet alleen een ‘slechte’ naam, maar wordt (samen)werken onmogelijk. Iets wat volgens mij niet de bedoeling lijkt van deze wet.

Lees verder