Door awareness voldoen aan de meldplicht datalekken
Alle kranten, nieuwssites, blogs en andere media staan op dit moment bol van de berichten over de meldplicht datalekken. Het vraagt heel wat van een organisatie om te voldoen aan de Wet bescherming persoonsgegevens en ook om klaar te zijn voor de meldplicht datalekken.
Iedereen heeft wel een advies: van procedures opstellen tot technische detectiemiddelen implementeren. Belangrijk hoor, maar wat mij betreft is de beste maatregel dat je ervoor zorgt dat alle ogen en oren in de organisatie weten waarop ze moeten letten. Als je dit op de goede manier doet, volgt vanzelf welke maatregelen je verder moet treffen. In dit artikel geef ik je tien tips om dit in te richten.
- Never waste a good crisis! Een paar mooie voorbeelden van waar het misgegaan is kan helpen de aandacht te trekken. Uit de eigen praktijk of bij andere instellingen in dezelfde sector. Een aansprekend voorbeeld blijft eerder hangen dan een gebeurtenis die totaal niet aansluit bij de dagelijkse praktijk.
- Meldplicht datalekken gaat over persoonsgegevens. Laat de medewerkers zich realiseren hoeveel verwerkingen van persoonsgegevens er zijn. Ook de verjaardagslijst is er één! Licht toe: wat zijn persoonsgegevens, wat is een verwerking en wanneer is de Wbp van toepassing.
- Een datalek is een veel ruimer begrip dan je op het eerste gezicht zou denken: het gaat om een “inbreuk op de beveiliging”. De bedoeling van de wetgever is het zichtbaar worden van de consequenties van computercriminaliteit of vormen van verwijtbare nalatigheid bij de beveiliging van gegevens in de digitale wereld. Transparantie bevordert dat overheden, bedrijven en burgers zorgvuldiger met persoonsgegevens omgaan en hun verplichting die gegevens te beveiligen tegen verlies of onrechtmatige verwerking serieuzer nemen. Met dit doel erbij is het beter uit te leggen wanneer er sprake is van een datalek, dus verlies van gegevens of onrechtmatige verwerking in de zin van de Wbp.
- Pas het verhaal aan op de groep. Verpleegkundigen, artsen, facilitair medewerkers of systeembeheerders – iedereen is verschillend. Om blijvend resultaat te halen is belangrijk zowel de inhoud van de boodschap als de vorm aan te passen aan de dagelijkse praktijk en de leerstijl van de groep.
- Zorg dat medewerkers weten waar ze heen moeten als ze een datalek vermoeden. Is dat een persoon, een servicedesk?
- Zorg voor een cultuur waarin je mag leren van fouten. Dit is makkelijker gezegd dan gedaan. Hier ligt een schone taak voor het management. Ook zij kunnen vaak wel een security-awarenesstraining gebruiken.
- Herhaal herhaal herhaal. En had ik al gezegd dat herhaling belangrijk is?
- Gebruik een aansprekende manier van informatie-overdracht en vermijd de “death by Powerpoint”. Ik maak zelf graag gebruik van de principes uit Accelerated Learning, waarin de deelnemers steeds geactiveerd worden. Het mag ook leuk zijn! In een positieve sfeer leer je meer.
- Als je nu toch bezig bent: informatiebeveiliging gaat over meer dan persoonsgegevens. Geef een inkijkje in het iets bredere veld en de rol die iedere medewerker daarin heeft. Alerte medewerkers spelen een belangrijke rol in het veiliger maken van de organisatie.
- Volg alle incidentmeldingen op door
- Het eventuele lek te dichten en het verlies te beperken;
- Vast te stellen of er gemeld moet worden aan de Autoriteit Persoonsgegevens en betrokkenen, en zo ja dat ook te doen;
- Maatregelen te nemen om herhaling te voorkomen;
- De melder te bedanken en te laten weten wat er gebeurd is met zijn melding. Dit bevordert de bereidheid om een volgend incident ook te melden. En daar gaat het nu net om!
Deel alsjeblieft dit artikel met jouw netwerk via de deelknop op Facebook, Twitter, Tumblr en Google+, zodat ook de mensen in jouw netwerk hiervan kunnen profiteren. Delen op LinkedIn moet handmatig.
[learn_press_profile]
1 Comment