Een compliant Privacyen ICT-Gebruiksbeleid

Transcriptie

1

2 WHITEPAPER Een compliant Privacyen ICT-Gebruiksbeleid Geen luxe maar noodzaak Inhoudsopgave Deel 1: De uitdagingen Privacy- en ICT-Gebruiksbeleid is in veel organisaties een ondergeschoven kindje. Vaak ontbreekt het aan tijd en de benodigde kennis om dit adequaat neer te zetten. Ondertussen groeit de urgentie voor een gedegen beleid hiervoor. De wet- en regelgeving rondom privacy en de verwerking van persoonsgegevens stelt hoge eisen en vereist vergaande maatregelen. De consequenties van een falend beleid en non-compliant zijn ernstig. Datalekken en daarmee gepaard gaande boetes en gezichtsverlies hangen als een donkere wolk boven het hoofd van veel organisaties. Tegelijkertijd gaat veel tijd verloren aan privégebruik van ICT-middelen, wat niet alleen de productiviteit schaadt, maar daarnaast het risico op incidenten verder vergroot. Deel 2: Hoe maakt Wanbound het verschil? Wanbound biedt een oplossing voor de geschetste problematiek. Wij bieden alle technologische en organisatorische instrumenten voor het ontwikkelen, handhaven en monitoren van een compliant Privacy- en ICT- Gebruiksbeleid. Daarmee kunnen wij organisaties veel ellende besparen en productiviteitsverlies voorkomen, zonder dat de medewerkers daar ernstige hinder van ondervinden.

3 Deel 1: De uitdagingen De aangescherpte privacywetgeving en meldplicht datalekken dwingt organisaties tot nadenken en het formuleren van een Privacy- en ICT-Gebruiksbeleid. Wie mag bij welke gegevens? Hoe en waar moeten we persoonsgegevens bewaren? Wie is verantwoordelijk voor de opslag? En wat mogen medewerkers wel en niet op het internet? Ondanks de urgentie zijn nog maar weinig bedrijven echt in control. Maatregelen zijn noodzakelijk, want datalekken liggen op de loer en gaan vaak gepaard met hoge boetes en desastreuze imagoschade. Een datalek kan resulteren in een forse boete We leven momenteel in een digitale economie. Binnen een oogwenk hebben we toegang tot een haast onbeperkte hoeveelheid media, kennis, informatie en data. Dat biedt bedrijven allerlei voordelen op, maar brengt ook twee grote risico s met zich mee: 1. Privacyproblemen en risico op datalekken Organisaties bewaren steeds meer data. Niet verwonderlijk, want big data is het nieuwe goud. Onder die data bevinden zich ook vaak persoonsgegevens, informatie die direct naar personen herleidbaar is, bijvoorbeeld naar (potentiële) klanten en medewerkers. Die gegevens zijn om allerlei redenen waardevol, maar kunnen ook kwijtraken, in verkeerde handen terechtkomen of simpelweg door onbevoegden worden ingezien of bewerkt. We spreken dan van een datalek en dat kan resulteren in een forse boete. Volgens de Nederlandse Wet Bescherming Persoonsgegevens (Wbp, artikel 13) moet de verantwoordelijke passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen tegen datalekken. Maar dat gebeurt lang niet in alle gevallen, laat staan op de goede manier. In maar liefst 79 procent van de gevallen zijn menselijke fouten, veroorzaakt door gebrekkige afspraken of verkeerde procedures, de oorzaak van een datalek. Bij de overige 21 procent gaat het om ontbrekende of onvoldoende technische maatregelen tegen externe factoren als hackers en malware. Veruit de grootste uitdaging ligt dus bij het ontwikkelen, monitoren en handhaven van een solide intern beleid. wanbound.com 2

4 2. Ongecontroleerd ICT-gebruik Door trends als Het Nieuwe Werken en Bring Your Own Device (BYOD) werken medewerkers in toenemende mate waar en wanneer hen dat uitkomt, op ieder gewenst device. Daarbij vervaagt de scheidslijn tussen privégebruik en zakelijk gebruik van deze ICT-middelen. Dat kan ongewenste situaties opleveren. Onderzoeken tonen aan dat werknemers een fors deel van hun werktijd besteden aan privézaken, wat de productiviteit beslist niet ten goede komt. Conflictsituaties en een verpeste werksfeer zijn reële risico s. Organisaties die persoonsgegevens verwerken, zijn verplicht dit correct en volgens de regels van de wet uit voeren Geen sluitend beleid Deze twee uitdagingen vragen enerzijds om bescherming van privacygevoelige data en anderzijds om regulering van het ICTgebruik. Maar het ontbreekt veel organisaties aan een sluitend beleid voor deze zaken. De benodigde kennis ontbreekt, evenals de sense of urgency bij het management. Deze houding kan organisaties letterlijk duur komen te staan. Wat zegt de privacywetgeving precies? Organisaties die privacygevoelige persoonsgegevens verwerken, zijn verplicht dit correct en volgens de regels van de wet uit te voeren. De privacy van burgers in de EU wordt namelijk bewaakt door strenge privacywetgeving op nationaal en internationaal niveau. Op dit moment is een nieuwe Europese Privacyverordering in de maak, ofwel de General Data Protection Regulation (GDPR). Het ziet er naar uit dat met de invoering hiervan een aantal zaken wederom wijzigen. Tot die tijd kennen we in Nederland de Wet bescherming persoonsgegevens (Wbp). De Autoriteit Persoonsgegevens (AP) waakt over de correcte uitvoering daarvan. Sinds 1 januari 2016 mag de AP boetes opleggen bij overtreding. Veel aandacht gaat in deze wetgeving logischerwijs uit naar (de verwerking van) persoonsgegevens. Dat zijn data die herleidbaar zijn naar individuele personen. Denk aan naam- en adresgegevens, personeelsadministratie, financiële gegevens, aankoophistorie, maar ook gegevens over bijvoorbeeld het internetgebruik van individuele medewerkers. wanbound.com 3

5 Dit zegt de privacywetgeving over de verwerking van persoonsgegevens: Organisaties mogen persoonsgegevens alleen in overeenstemming met de wet en op een behoorlijke en zorgvuldige manier verwerken. Organisaties mogen persoonsgegevens alleen voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzamelen. Verdere verwerking is alleen toegestaan als de doeleinden daarmee verenigbaar zijn. Degene van wie persoonsgegevens worden verwerkt (de betrokkene), moet ten minste op de hoogte zijn van de identiteit van de organisatie of persoon die deze persoonsgegevens verwerkt (de zogeheten verantwoordelijke) en van het doel van de gegevensverwerking. Organisaties moeten de gegevensverwerking op een passende manier beveiligen. Voor bijzondere gegevens, zoals over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels. De privacywetgeving is van toepassing op alle vormen van het verwerken van persoonsgegevens, ongeacht of die verwerking op papier of in computerbestanden gebeurt. Onder de verwerking persoonsgegevens verstaan we het hele proces van verkrijgen, combineren, bewerken, ordenen, opslaan, opvragen, doorgeven, vernietigen van gegevens etc. Hieronder vallen ook wachtwoorden en inloggegevens. Organisaties moeten het geheel of gedeeltelijk geautomatiseerd verwerken van persoonsgegevens in principe melden bij de Autoriteit Persoonsgegevens of de Privacycommissie. Datalekken en de meldplicht Het is een populair misverstand dat bij een datalek altijd sprake is van kwijtgeraakte of gestolen privacygegevens. Er is echter al sprake van een datalek wanneer organisaties niet aan de bovenstaande criteria voldoen en persoonsgegevens dus onjuist en onrechtmatig verwerken. Een datalek hoeft dus niet per se veroorzaakt te zijn door een hacker of technisch beveiligingsprobleem. Het ontstaat meestal doordat het interne Privacy- & ICT-Gebruiksbeleid niet op orde is, waardoor onbevoegden toegang hebben tot persoonsgegevens. Sinds 1 januari 2016 is een organisatie verplicht altijd melding te maken van een datalek bij de Autoriteit Persoonsgegevens of de Privacycommissie. De melding dat persoonsgegevens worden verwerkt is niet enkel beperkt tot het moment dat er sprake is van een datalek. Een organisatie is altijd verplicht de verwerking van persoonsgegevens bij de Autoriteit Persoonsgegevens of Privacycommissie te melden, tenzij men voldoet aan het vrijwaringsbesluit. Het is aan de verantwoordelijke om dat na te gaan. wanbound.com 4

6 In de meeste gevallen moet de organisatie het datalek ook melden bij de betrokkenen. Het gaat om de volgende gevallen: Wanneer de organisatie persoonsgegevens verwerkt zonder legitiem belang. Wanneer de organisatie persoonsgegevens gebruikt voor onverenigbare doeleinden. Wanneer de organisatie het verbod overtreedt inzake het verwerken van bijzondere gegevens. Wanneer de organisatie zich niet houdt aan de regels rondom Data-export naar niet-europese landen. Wanneer de organisatie onvoldoende informatie verstrekt naar betrokkenen over het privacybeleid van de organisatie. Wanneer de organisatie (grensoverschrijdend) internetgebruik verwerkt waarbij de juiste procedures ontbreken. Die verplichte melding aan betrokkenen (vaak klanten, medewerkers en/of partners) leidt vrijwel altijd tot een deuk in het goede vertrouwen van de klant en/of partner in de organisatie en schaadt de reputatie van het bedrijf. Hoge boetes De Autoriteit Persoonsgegevens (NL) mag bij datalekken hoge boetes opleggen. Bij grove nalatigheid (wanneer de organisatie dus niets of veel te weinig heeft gedaan ter voorkoming van datalekken) kan de organisatie direct worden beboet. Daarnaast geldt ook het risico van bestuurlijke aansprakelijkheid. In Nederland bedragen de boetes maximaal ,00 euro (bij klasse III). Boetes kunnen van toepassing zijn wanneer: De organisatie meldt datalekken niet. Persoonsgegevens niet op een behoorlijke of zorgvuldige manier zijn verwerkt, langer worden bewaard dan noodzakelijk, de beveiliging niet deugt, het beheer van persoonsgegevens slecht is georganiseerd, anders gevoelige informatie is misbruikt, etc. Verwerking van persoonsgegevens niet is gemeld bij de Autoriteit Persoonsgegevens of Privacycommissie. wanbound.com 5

7 Encryptie: niet zaligmakend Alleen met technische en organisatorische maatregelen is het risico op datalekken te minimaliseren. Het is daarbij een misverstand dat encryptie hiervoor een toereikend en zaligmakend middel is. Encryptie maakt een veilige datauitwisseling mogelijk over een onveilig communicatiekanaal. Dat zijn kanalen waar mogelijkerwijs ook derden toegang toe kunnen hebben, zoals het internet. Het is slechts één van de te nemen maatregelen, maar beslist niet zaligmakend. Zo zal de databewerker geautoriseerd moeten zijn om de data te versleutelen. Is de ICT-coördinator of de ICT-bewerker (vaak extern) geaccrediteerd of bevoegd om de data te beoordelen, te loggen, te verwerken, te rapporteren, et cetera? Bovendien geeft encryptie geen antwoord op de vraag of de data rechtmatig en met instemming van medewerkers en organisatie verzameld is. Ook zegt encryptie niets over of de juiste reglementen en procedures zijn gehanteerd voor het verzamelen van deze gegevens. In de praktijk kan onrechtmatig verkregen persoonsinformatie voorzien zijn van encryptie In de praktijk kan dus onrechtmatig verkregen persoonsinformatie voorzien zijn van encryptie. Bovendien zijn datalekken niet beperkt tot uitsluitend digitale datastromen, want dit geldt nadrukkelijk ook voor verwerking van persoonsgegevens op alle papier- en documentenstromen. En op papieren informatie heeft encryptie geen enkele grip. Productiviteitsverlies door ICT-misbruik Er is nog een ander belangrijk argument voor een duidelijk en juridisch sluitend Privacy- en ICT-Gebruiksbeleid. Medewerkers hebben door trends als Het Nieuwe Werken en BYOD zich allerlei vrijheden verworven. Privégebruik van ICT tijdens werktijd kan de spuitgaten uitlopen. Jaarlijks gaan miljarden euro s verloren aan zaken als Marktplaats, webmail, Facebook, porno, games en andere niet-werkgerelateerde zaken. Daarnaast kunnen zaken als videostreaming en torrent-downloads een zware wissel trekken op de bandbreedte van het bedrijfsnetwerk. Het risico bestaat dat cruciale dienstverlening in de verdrukking raakt. Ook levert privégebruik van zakelijke ICT-middelen een beveiligingsrisico met zich mee. Zeker bij torrent-downloads is dat aan de orde. Het gebruik van illegale software kan ten slotte resulteren in een forse boete van de The Software Alliance (BSA). De organisatie is immers verantwoordelijk voor illegale software op apparaten van medewerkers, mocht de onderneming uit het gebruik ervan mogelijkerwijs profijtelijk voordeel halen. Dat vraagt om duidelijke regels en afspraken rondom het gebruik van ICT-middelen. Dit gedrag is immers niet alleen schadelijk voor de productiviteit, maar verhoogt ook het risico op datalekken. Managers staan daarbij wel voor een grote uitdaging, want bij traditionele ICT-reguleringsoplossingen voelen medewerkers zich snel bekeken en in hun privacy aangetast. wanbound.com 6

8 Traditionele oplossingen zijn bovendien star in hun benadering: apps en websites zijn ofwel toegestaan, ofwel verboden. Een dergelijk beleid sluit niet aan bij deze moderne tijd, waarin plaats- en tijdsonafhankelijk werken de nieuwe norm is en grenzen tussen privé en zakelijk vervagen. Zeker bij de jongere generatie Millennials kan een restrictief beleid de nodige weerstand opwekken. Organisaties mogen het gedrag van individuele medewerkers niet zomaar monitoren, vastleggen en rapporteren Juridische valkuilen Op het moment dat je gebruiksgeschiedenis op persoonsniveau monitort, begeef je je als werkgever bovendien op glad ijs. Organisaties mogen het gedrag van individuele medewerkers niet zomaar monitoren, vastleggen en rapporteren. Op dat moment verzamelen deze namelijk persoonsgegevens en krijgen zij te maken met privacywetgeving (Wet bescherming persoonsgegevens). Bovendien kleven er allerlei juridische aspecten aan webmonitoring op individueel niveau. Individuele monitoring kan en mag alleen wanneer het ICT- gebruiksbeleid voldoet aan de regels en procedures van de privacywetgeving. Juridische stappen ondernemen tegen een medewerker op basis van zijn ICT-gebruik is uitsluitend mogelijk indien deze wettelijke stappen zijn gevolgd. Allesomvattend beleid De conclusie is duidelijk: een organisatie kan alleen het risico op datalekken, productiviteitsverlies en arbeidsconflicten minimaliseren met een allesomvattend Privacy- en ICT- Gebruiksbeleid, onder het gezag van de verantwoordelijke. Bestuurders, directies en ICT-beheerders kunnen privacywetgeving niet langer negeren en staan daarom voor de volgende strategische vraagstukken: 1. Hoe richten wij een Privacy- en ICT-Gebruiksbeleid in? 2. Aan welke wetgevingen en richtlijnen moeten wij voldoen? 3. Voldoet ons privacy- en ICT- gebruiksbeleid (voor zover dat er is) aan de privacywetgeving? Een Privacy- & ICT-Gebruiksbeleid inrichten volgens de privacywetgeving is een vrij complexe klus. Het antwoord op de laatste vraag is meestal: weet het niet. Dat is een ernstige zaak, want deze organisaties zetten hun voortbestaan op het spel. wanbound.com 7

9 Deel 2: Hoe maakt Wanbound het verschil? Op basis van de gekozen antwoorden dragen wij de oplossing aan, met daarbij de juiste documenten, procedures en reglementen Wanbound biedt een unieke service die zowel de verantwoordelijke als de bewerker van de organisatie actief ondersteunt in de ontwikkeling, uitvoering, handhaving en controle van hun Privacy- en ICT-Gebruiksbeleid. Wij leiden jou, door het stellen van vragen en het geven van aanwijzingen, door het proces van beleidsformulering. Alle vragen die wij stellen zullen daarbij worden voorzien van een uitgebreide toelichting zodat jij de juiste keuzes kan maken. Op basis van de gekozen antwoorden dragen wij de oplossing aan, met daarbij de juiste documenten, procedures en reglementen. Alle documenten, procedures en sjablonen voldoen aan de Nederlandse privacywetgeving en is de organisatie voorbereid op de Europese Privacyverordering (GDPR). Gedurende de ontwikkeling van het Privacy- en ICT- Gebruiksbeleid voor jouw organisatie en in de nazorg zullen wij pro-actief tips en suggesties aandragen die datalekken en onrechtmatige gegevensverwerking voorkomen. Monitoring en Handhaving Wanneer het Privacy- en ICT-Gebruiksbeleid voor jouw organisatie doorgevoerd is, zal Wanbound de monitoring en handhaving van dit beleid verzorgen. Ongewenst internetgedrag is hierdoor te controleren en waar nodig kan hier kordaat, volgens de geldende wetgeving, op ingegrepen worden. Wanbound kan zelfs het afdwingen van het geselecteerde beleid actief bekrachtigen door bijvoorbeeld: Wanbound biedt volledige controle en monitoring op de naleving van het Privacy- & ICT-Gebruiksbeleid Toegang vereisen van gebruikers wanneer zij inloggen met hun pc, laptop of mobile devices op het netwerk van de organisatie. Zij moeten dan via een pop-up akkoord gaan met het geldende ICT- en privacybeleid van jouw organisatie. Wanneer gebruikers inloggen op hun pc, laptop of mobile devices wordt om akkoord gevraagd voor het opslaan van unieke gegevens zoals accountgegevens, MAC-adres en datum. Wanneer gebruikers het geldende ICT-beleid van jouw organisatie negeren door dingen te doen die niet zijn toegestaan, dan wordt dit door ons geregistreerd en/of geblokkeerd (afhankelijk van de instellingen). Filtering van niet toegestane websites kunnen wij inzetten, zoals bijvoorbeeld porno, gokken, geweld, discriminatie, etc. Wij kunnen een regulering inzetten, waarbij bepaalde software en/of websites voor een bepaalde periode, bij bepaalde tijden beschikbaar worden gesteld. Bijvoorbeeld reguleren van sociale media; wel toegestaan tijdens de pauzes maar niet (of beperkt) onder werktijd. Actieve controle of blokkeren op het gebruik van mobiele datadragers (USB/SD) ter voorkoming onrechtmatig downloaden van organisatiebestanden. Instellingen kunnen onafhankelijk van elkaar gemaakt worden op organisatie-, bedrijfs-, afdelings- of gebruikersniveau. wanbound.com 8