Data Awareness gaat verder dan Privacy

Data Awareness gaat verder dan Privacy

Extracten uit de patiëntenadministratie, afvinklijstjes uit bewonersbestanden, lijsten met medewerkergegevens, klantdetails per product voor de marketing afdeling, ze hebben één ding gemeen: het betreft allemaal persoonsgegevens. We ontvangen ze, slaan ze op in onze persoonlijke folders of eigen laptop, maken kopieën voor collega’s of sturen ze door naar externe partijen. We behandelen vaak persoonsgegevens uit goed beschermde en privacy compliant dataverzamelingen en applicaties op een ongestructureerde en oncontroleerbare wijze. Net als bij beveiligingsonderwerpen is ook hier blijkbaar de mens weer de zwakste schakel.

 

We kunnen een privacybeleid en bijbehorend protocol opstellen, processen rond privacyvragen en -incidenten inregelen, een FG benoemen, dataverzamelingen extra beveiligen en voor applicaties ontwikkeling privacy-by-design als uitgangspunt nemen. Maar zolang de gebruikers niet op een verantwoorde manier omgaan met de gevoelige persoonsgegevens, dreigt er nog steeds een boete van de AP of erger nog: het verlies van het imago van betrouwbare partner of leverancier.

 

Het gaat erom dat de gebruikers zich realiseren met welke gegevens ze van doen hebben. Dat geldt in het bijzonder voor de gevoelige persoonsgegevens, maar niet uitsluitend. Het geldt ook voor bedrijfsgegevens die je liever niet op straat ziet en die ook een negatieve invloed op reputatie of resultaten kunnen hebben. De details over het unieke productieproces, de verwachtingen rond de resultaten, overwegingen aangaande toekomstige prioriteiten, maar ook de persoonlijke documenten van de bestuurders.

 

Het volstaat dus niet om gebruikers van ongestructureerde data-objecten te wijzen op de regels en de risico’s rond privacy. Ze moeten zich bewust zijn van de waarde van en risico’s rond de data-objecten die ze in hun bezit hebben. Ze moeten weten wat de organisatie verwacht van de eigenaar van een data-object. Hoe de data-classificatie structuur van de organisatie in elkaar steekt. Hoe er met vertrouwelijke data in het algemeen en met persoonsgegevens in het bijzonder omgegaan moet worden. Welke technische maatregelen er genomen zijn op het gebied van data-loss-prevention of encryption. Maar waar het vooral om gaat dat de gebruikers beseffen dat data waarde heeft en het werken ermee risico’s met zich meebrengt. En dat het om meer gaat dan alleen persoonsgegevens.

 

In lijn met de voorlichting rond security kunnen we hier spreken van Data Awareness. Organisaties zullen hier steeds meer aandacht aan moeten gaan schenken. Dat begint met helder te verwoorden hoe de organisatie met haar gegevens om wil gaan, het inregelen van een verzameling maatregelen om onbewust en bewust oneigenlijk gebruik tegen te gaan en erover te communiceren, er op te trainen en er bij te ondersteunen. De gebruikers moeten zich er bewust van zijn dat gegevens in toenemende mate waarde voor de organisatie hebben, dat er mogelijk risico’s zijn als ze op een verkeerde plek terecht komen, dat er wet- en regelgeving is die erop van toepassing is en dat ze dus zorgvuldig moeten zijn in welke gegevens met wie gedeeld worden. In dit spel zullen naast de FG of Privacy Officer en de CDO of Informatie Manager, ook andere verantwoordelijken in de organisatie een belangrijke rol moeten spelen. Er is nog een hoop werk aan de winkel op het gebied van Data Awareness.

 

Fout: Contact formulier niet gevonden.