Als organisatie moet je garant staan voor een werkomgeving die voldoet aan de wettelijke eisen op het gebied van privacy. Vaak is dit echter niet het geval, omdat het beleid bestaat uit losse puzzelstukken die geen coherent geheel vormen. Geldt dit ook voor jouw bedrijf?
Het volgende is – ongeacht de branche waarin je actief bent – relevant voor je organisatie: heb je een ICT- en privacybeleid opgesteld dat heldere afspraken tussen directie en medewerkers bevat? Heb je de zaken goed geregeld en krijgen je medewerkers toch niet het gevoel dat je ze controleert? Welke persoonsgegevens bewaar je gedurende welke periode – en heb je hiervoor toestemming van de betrokkenen gekregen? Filter je schadelijke beelden of ongewenste websites en games? Heb je spelregels opgesteld met betrekking tot het gebruik van social media?
Deze vragen zien er behoorlijk eenvoudig uit. En toch vinden veel bedrijven het lastig om hier een eenduidig antwoord op te geven.
ICT- en privacybeleid: een korte uitleg
Een ICT- en privacybeleid bestaat meestal uit beleidsdocumenten en afspraken over diverse elementen, zoals:
- Hoe je logt, monitort, registreert, rapporteert en verwerkt;
- Op welke wijze je hardware, software en mobiele apparaten gebruikt;
- Wat de reglementen zijn omtrent ICT-gebruik;
- Wat de reglementen zijn met betrekking tot privacy;
- Hoe autorisatie en geheimhouding zijn geregeld;
- Hoe je omgaat met internet- en e-mailgebruik voor privédoeleinden tijdens werktijd;
- Welke procedures er zijn voor het voldoen aan wettelijk gestelde criteria.
Zorg ervoor dat je het beleid zó ontwikkelt, controleert en handhaaft dat je geheel aan de privacywetgeving voldoet.
Betekenis van de privacywetgeving voor organisaties
Binnen iedere organisatie moet de beveiliging van persoonsgegevens vooropstaan. Diverse maatregelen van technische en organisatorische aard zijn nodig om datalekken te voorkomen. Ontwikkel allereerst een overkoepelend ICT-beleid. Het belangrijkste aandachtspunt hierbij is de manier waarop je bedrijf omgaat met persoonsgegevens. Let bijvoorbeeld goed op of de meldplicht aan de orde is; dat is vaak eerder dan je denkt! Voldoet het ICT- en privacybeleid van je bedrijf niet aan de wettelijk gestelde eisen op het gebied van privacy, dan bestaat er een kans dat je een boete voor nalatigheid krijgt.
ICT- en privacybeleid: waarom het misgaat
Het (vak)nieuws besteedt in toenemende mate aandacht aan dit onderwerp. Hoe komt het dan dat er toch maar weinig bedrijven zijn die hun ICT- en privacybeleid goed geregeld hebben? Veel voorkomende redenen zijn:
- Het beleid leeft niet en staat niet hoog op de prioriteitenlijst;
- Wet- en regelgeving blijft nooit lang hetzelfde en de technische en juridische complexiteit is groot;
- De juridische risico’s zijn onderbelicht;
- Welke persoons- of personeelsgegevens er mogen of moeten worden verwerkt, is niet bekend;
- Het is niet duidelijk wie persoonsgegevens kunnen inzien, omdat er niet wordt geïnventariseerd waar deze staan en worden verwerkt;
- Het bedrijf in kwestie verstrekt persoonsgegevens aan derden zonder hiervoor toestemming te hebben gekregen van betrokkenen en zonder te werken met correcte bewerkersovereenkomsten;
- Een socialmedia-, privacy- en ICT-gebruiksreglement ontbreken.
Herken jij je in de bovenstaande punten? Stel intern dan een verantwoordelijke aan voor het ICT- en privacybeleid. Roep eventueel ook externe hulp in – bijvoorbeeld van een brancheorganisatie, ICT-dienstverlener of jurist.
De gevolgen van het ontbreken van een ICT- en privacybeleid
Als je zonder een (gedegen) ICT- en privacybeleid werkt, kun je flink in de problemen komen. Moet je bijvoorbeeld corrigerende maatregelen treffen op arbeidsrechtelijk gebied, dan stuit je al gauw op de nodige juridische beperkingen. En is er onverhoopt een datalek, dan lijd je merk-, imago- of reputatieschade. Andere mogelijke consequenties zijn:
- Een instabiel ICT-netwerk doordat je medewerkers onbeperkt gebruikmaken van privéapplicaties, bandbreedte, logs en data;
- Een hoog risico op spam, computervirussen, malware en het gebruik van illegale software, omdat je medewerkers ongeorganiseerd hun privéapparaten op ongeorganiseerde wijze gebruiken;
- Een aansprakelijkheidstelling van de BSA indien je personeel illegale software gebruikt.
Meer weten over het opstellen van een goed ICT- en privacybeleid? Neem gerust contact met ons op!