Werknemers komen en gaan; zij wisselen jaar in jaar uit bestanden uit, slaan bijlagen van mails op en downloaden rapporten. Wellicht werken de werknemers gezamenlijk op een server waar je organisatie periodiek back-ups van maakt. Hoe weet je dan nog of je wel aan de AVG voldoet?
Het voordeel van voorzichtig omgaan met binnen de organisatie opgeslagen persoonsgegevens, is tweeledig. Enerzijds wil je uiteraard de Autoriteit Persoonsgegevens niet op je dak, anderzijds wil je niet het volgende bedrijf zijn dat het nieuws haalt vanwege een gigantisch datalek. Wat je niet hebt, kan immers ook niet lekken.
Want hoe zat het ook alweer? Welke gegevens mag je wel verwerken en welke niet? Een korte samenvatting van de regels:
- Je mag alleen persoonsgegevens verwerken die cruciaal zijn voor het behalen van je doel. Dit doel moet vooraf duidelijk zijn voor die persoon wiens gegevens je verwerkt.
- Een van de volgende zes grondslagen moet op jouw organisatie van toepassing zijn:
- Je hebt toestemming van de persoon om wie het gaat.
- Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren.
- Je bent wettelijk verplicht om deze gegevens te verwerken.
- Het is noodzakelijk om deze gegevens te verwerken om vitale belangen te beschermen.
- Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen.
- Het is noodzakelijk om gegevens te verwerken om je gerechtvaardigde belang te behartigen.
Inmiddels zijn we drie jaar verder, en is dit voor de meeste organisaties geen nieuwe informatie meer. Echter zien ze bij het toepassen van de regels ver weggestopte, allang vergeten of gearchiveerde data veelal over het hoofd. Ook weten organisaties vaak niet waar ze moeten beginnen bij het doorzoeken van bestanden. Logisch, soms gaat dit om honderdduizenden bestanden in uiteenlopende bestandsformaten. Maar je moet natuurlijk eerst weten wát je hebt voordat je het kunt beoordelen.
Bij Nalanda kwamen we op het idee om ons Nalytics Search & Discovery-platform in te zetten om dit probleem aan te pakken. Dat we in staat zouden zijn om in gigantische hoeveelheden data allerlei soorten persoonsgegevens te lokaliseren, wisten we al. Na enkele experimenten leken we echter ook in staat om ID-kaarten, paspoorten en rijbewijzen uit zeer oude, gescande documenten naar boven te halen.
Inmiddels heeft Nalanda rapporten aan klanten geleverd die hen precies aanwijzen welke data waar staan opgeslagen. De klant heeft daarna de optie om de geïdentificeerde data door ons te laten verwijderen, waarna er eventueel een zwarte balk of lege afbeelding op de diezelfde plek wordt teruggeplaatst.
En als je persoonsgegevens dan toch moet bewaren om een van bovenstaande redenen, dan is het tegenwoordig voor organisaties van levensbelang om deze met alles wat ze hebben te beveiligen.
Nalanda’s zusterbedrijf Hytec ontwikkelde met haar 27 jaar aan ervaring in managed cyber security, information governance en compliance services een totaal nieuwe aanpak voor informatiebeveiliging. Een partnership aangaan met Hytec betekent dat er continu wordt gemonitord op o.a. verdachte activiteiten, potentiële kwetsbaarheden, dreigingen en digitale grensbewakingen. Via een speciaal voor jouw organisatie ontwikkeld dashboard kun je dit alles live volgen. Hytec ontzorgt bedrijven op deze manier volledig als het gaat om cybersecurity.
Neem contact met ons op voor meer informatie over onze producten en services of over Hytec.