Informatieveiligheid & GDPR

De taak van een DPO beperkt zich tot de uitvoering van de GDPR, terwijl een informatieveiligheidsconsulent handelt binnen het geheel van informatieveiligheid.

Wat is het belang van informatieveiligheid voor lokale besturen?

Het belang van informatieveiligheid wordt in heel wat organisaties onderschat. Toch is ook dit aspect van een digitaal beleid belangrijk voor een goed functionerend bestuur. Informatieveiligheid betreft namelijk de bescherming van alle soorten data die een organisatie te verwerken krijgt. Het kan hierbij gaan om belangrijke bedrijfsdocumenten, klantgegevens, financiële gegevens, emailverkeer, etc.

Een doelgerichte informatiebeveiliging vereist een samenhangend geheel van technische en organisatorische maatregelen. Een hacker, fraudeur, schadelijke software of simpelweg een verloren USB-stick kunnen ervoor zorgen dat gevoelige gegevens in de verkeerde handen vallen. Ontbrekende of onvoldoende beveiliging kan in zo’n geval leiden tot ernstige technische schade, een datalek of imagoschade die niet altijd even makkelijk te herstellen valt. Overheidsinstanties zijn daarom wettelijk verplicht aan bepaalde beveiligingseisen te voldoen.

Informatieveiligheid steunt op drie principes:

  1. Vertrouwelijkheid: hebben enkel bevoegde personen toegang tot bepaalde data? Is er gevaar op een datalek?
  2. Betrouwbaarheid: is de informatie die ter beschikking gesteld wordt aan de organisatie actueel en correct?
  3. Beschikbaarheid: in welke mate kan de continuïteit van de toegang tot informatie voor de organisatie gegarandeerd worden? Wat als de server het begeeft? Wat in geval van bv. een computervirus, brand of diefstal?

Deze drie aspecten worden samen behandeld in het informatieveiligheidsplan. Het doel van zo’n plan is om de bovenvermelde risico’s tot een minimum te herleiden en een structurele aanpak te garanderen. Haviland kan ook uw bestuur ondersteunen bij de opmaak van een degelijk plan, en de uitrol ervan binnen uw organisatie.

GDPR binnen het geheel van informatieveiligheid

Persoonlijke gegevens zijn een bijzondere categorie data die extra aandacht verdient. Het spreekt voor zich dat bijvoorbeeld persoonlijke identificatiegegevens, financiële informatie of medische gegevens bijzondere bescherming vereisen. Mede daarom is op 25 mei 2018 de GDPR (General Data Protection Regulation) − of in het Nederlands AVG (Algemene verordening Gegevensbescherming) − in werking getreden. Deze Europese verordening zorgt ervoor dat persoonlijke gegevens beter beschermd worden en kent op dit gebied ook uitgebreidere rechten toe aan consumenten en burgers.

Voor openbare besturen brengt de GDPR ook nieuwe uitdagingen met zich mee. Hoe beschermen we de privacy van onze medewerkers en burgers? Waarvoor moet de toestemming van de burger gevraagd worden? Hoe maak ik best afspraken met leveranciers die persoonsgegevens verwerken, zoals payrollbedrijven of bepaalde softwarebedrijven? Ook hier kan Haviland u ondersteunen door het aanbieden van een DPO (Data Protection Officer).

Alle organisaties, ook openbare besturen, zijn sinds de invoering van GDPR verplicht een DPO aan te stellen. Deze persoon staat in voor de implementatie en handhaving van GDPR in de gehele organisatie en dient als centraal aanspreekpunt inzake privacy. Een professionele DPO vormt een belangrijke meerwaarde voor openbare besturen, want naast GDPR bestaat er ook heel wat andere nationale wetgeving die men in acht moet nemen wat betreft privacy.

Naast het aanstellen van een DPO, vereist de GDPR dat u een verwerkingsregister bijhoudt. Dat is een overzicht van o.a. welke persoonlijke gegevens u verwerkt, voor welk doeleinde, welke bewaartermijn u hanteert, of er niet meer gegevens verwerkt worden dan nodig, enz. Haviland stelt hiervoor de nodige sjablonen, expertise en tools ter beschikking om dit op een gebruiksvriendelijke en kostenefficiënte manier te doen.