Iedere organisatie herbergt vele terabytes aan data waarin zich bedoeld of onbedoeld, gegevens bevinden die onder de regelgeving voor privacybescherming vallen. Maar hoe beveilig je die gegevens als je niet weet waar die zijn opgeslagen? In dit stuk praktische aanbevelingen voor de General Counsel.
Bescherming van persoonsgegevens begint met weten waar wat staat
Iedere organisatie slaat informatie op over werknemers, klanten en leveranciers. Deze persoonlijk identificeerbare informatie (PII) betreft een geïdentificeerde of identificeerbare natuurlijke persoon en is bij de wet beschermd. Het verzamelen, vastleggen, ordenen, bewaren, bewerken, wijzigen, opvragen, raadplegen, gebruiken en doorsturen van persoonsgegevens is aan strikte regels onderworpen.
In het huidige juridische klimaat krijgen bedrijven steeds vaker te maken met gerechtelijke straffen omdat ze elektronische informatie niet kunnen vinden of overleggen. Inbreuken op privacy en veiligheid worden strenger bestraft.
Zowel de overheid als uw klanten verwachten dat u persoonsgegevens goed beschermt en deze nooit op straat komen te liggen. Dat betekent dat deze gegevens niet voor iedereen toegankelijk mogen zijn. En voor documenten waarin persoonsgegevens staan, geldt een verjaringstermijn. U bent dus verplicht deze na een bepaalde periode te vernietigen.
Lokalisatie grootste uitdaging
Iedere organisatie herbergt vele terabytes aan gegevens en die hoeveelheid neemt alleen maar toe. In deze enorme hoeveelheid informatie bevinden zich, bedoeld of onbedoeld, heel veel gegevens die onder de regelgeving voor privacy en gegevensbescherming vallen. Maar waar zijn die gegevens opgeslagen?
In de meeste organisaties blijken deze gegevens door niemand proactief te worden beheerd. Niemand blijkt te weten welke gegevens zich waar bevinden of welke informatie die gegevens bevatten. En wanneer er geen controle is over die gegevens, neemt het risico van ongeoorloofde verspreiding van PII enorm toe en zal dit op zijn minst, wanneer het tot een rechtszaak komt, leiden tot hoge kosten en gigantische risico’s.
Bedrijven doen er daarom verstandig aan om de manier waarop zij PII opslaan en gebruiken, te evalueren. Er zijn verscheidene instrumenten beschikbaar die organisaties kunnen helpen bedrijfsbrede risicobeoordelingen op het gebied van privacy en veiligheid uit te voeren. Deze zijn zeer nuttig voor het testen van processen. De resultaten kunnen worden vergeleken met de geldende privacy- en veiligheidsvoorschriften en waardevolle inzichten opleveren voor mogelijke verbeteringen.
Aanbevelingen voor de General Counsel
Een doelgerichte aanpak voor de naleving van wetgeving voor privacy- en gegevensbescherming, begint daarom met het lokaliseren en identificeren van de informatie die moet worden beveiligd. Besef dat technologie hierbij onmisbaar is. Het handmatig doorzoeken van een gemiddelde corporate e-mailhuishouding is onbegonnen werk. Het standaard Windows zoekmechanisme is hier niet op ingesteld. In de meeste gevallen zit het verborgen gevaar in de bijlage van die ene verkeerd opgeslagen e-mail.
Begin met het goed en verantwoord opschonen van data in verouderde systemen (legacy data). Zorg daarna voor het ordenen van documenten volgens een juridisch verantwoord archiveringsplan en het invoeren van een strikt beleid voor retentie en vernietiging.
Doorzoek regelmatig big data, inclusief audio, multimedia en visuele bestanden en maak hierbij gebruik van beschikbare technologie zoals ‘text-mining’ en ‘visual classification’ functionaliteiten voor de identificatie van PII-afbeeldingen, potentieel intellectueel eigendom, handgeschreven aantekeningen, cheques, identiteitsbewijzen en andere informatie die anders niet automatisch wordt herkend.
Besef dat voor een effectieve archivering alle elementen van bestanden en documenten moeten worden opgeslagen. Let daarbij op de metadata. Bij Excell bijvoorbeeld op de formules en bij e-mail op bijlagen, publieke folders, .pst files, kalenders, contacten, notes, et cetera.
Kies voor opslag in een duurzaam, open format als XML. Zo voorkomt u afhankelijkheid van een leverancier (‘vendor lock-in’) en kunt u in de toekomst nog bij uw data.
Meer weten?
Op dinsdag 8 maart organiseert ZyLAB in het Nemo Science Center in Amsterdam een relatiebijeenkomst rond het thema “Waarheidsvinding” als einddoel van ieder (juridisch) dataonderzoek. Diverse professionals uit de advocatuur, het bedrijfsleven en overheid vertellen hier hoe zij in hun dagelijkse praktijk omgaan met de zoektocht naar antwoord op vragen waar het ook bij de bescherming van persoonsgegevens mee begint: “wie, wat, waar, waarom en wanneer”. Reserveer nu een plekje.