Op 28 januari werd opnieuw de Europese Dag van de Privacy gevierd
Een gelegenheid waarbij wereldwijd extra aandacht wordt besteed aan het belang van persoonsgegevens en de noodzaak om ze op de juiste wijze te beschermen. Deze speciale dag is gericht op het voorlichten over de rechten onder de Europese privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG). Het is vanzelfsprekend een belangrijke dag voor de Autoriteit Persoonsgegevens, de Nederlandse toezichthouder die belast is met het handhaven van de AVG. Tevens worden bedrijven en organisaties aangemoedigd om op deze dag hun inspanningen voor de bescherming van persoonsgegevens te intensiveren.
Hoe is deze dag tot stand gekomen?
In 2007 werd de Dag van de Privacy officieel geïnitieerd door de Raad van Europa, met steun van de Europese Commissie. Deze jaarlijkse viering valt op 28 januari, de dag dat in 1981 het Dataprotectieverdrag werd ondertekend.
Interview Janet Bronsvoort- officer risk & compliance bij Flanderijn
Vandaag hebben we het genoegen om in gesprek te gaan met Janet Bronsvoort, officer risk & compliance bij Flanderijn. We hebben gevraagd of we haar mochten interviewen over het onderwerp privacy binnen Flanderijn en om haar inzichten te delen over deze bijzondere dag.
Kun je jezelf kort voorstellen en wat meer vertellen over jouw rol bij Flanderijn?
In 2003 begon mijn reis bij Flanderijn in Doorn, en sindsdien heb ik hier al bijna 21 jaar met toewijding gewerkt. Als gerechtsdeurwaarder heb ik gedurende 15 jaar routes gereden in het midden van het land. Op een gegeven moment besefte ik dat ik mijn opgedane kennis ook op kantoor kon inzetten. Momenteel ben ik werkzaam binnen het team Risk en Compliance (R&C), waar ik de rol van Functionaris Gegevensbescherming (FG) vervul. Onze afdeling houdt zich o.a. bezig met interne audits en certificeringen. Het onderwerp informatiebeveiliging komt hier overal in terug.
Wat zijn de werkzaamheden binnen jullie afdeling?
Als FG houd je toezicht op de naleving van de AVG en op de verwerking van persoonsgegevens. Daarnaast onderhoud ik contacten met betrokkenen, zoals opdrachtgevers, klanten en derden. Binnen team R&C team worden datalekken behandeld. Mijn collega Olaf Straver vervult de rol van Chief Information Security Officer, kortom CISO. Hij is verantwoordelijk voor de informatiebeveiliging en op het technische aspect en het ICT-gedeelte van informatiebeveiliging. Olaf houdt bijvoorbeeld de dreigingen binnen en buiten Flanderijn nauwlettend in de gaten en neemt zo nodig passende beschermingsmaatregelen om de vertrouwelijkheid, integriteit en beschikbaarheid van de dienstverlening te borgen.
Vanuit mijn functie onderhoud ik contacten met de Autoriteit Persoonsgegevens (AP). Ik ben verantwoordelijk voor het opstellen van rapportages en analyses met betrekking tot datalekken en verstrek advies aan de directie in geval van problemen of vragen van opdrachtgevers met betrekking tot datalekken en de verwerking van persoonsgegeven. Tevens speel ik een rol bij het starten van nieuwe gegevensverwerkingen, die opgenomen worden in het verwerkingsregister. Dit register is verplicht en essentieel om, in het geval van een incident, te kunnen identificeren welke gegevens zijn gelekt.
Privacy kwesties zijn vaak onderwerp van vragen van opdrachtgevers. Wij beoordelen bijvoorbeeld welke gegevens worden gedeeld, wie er toegang heeft en hoelang de gegevens worden bewaard.
Wat is de AP?
In geval van een datalek met een groot risico voor nadelige gevolgen zijn wij verplicht dit te melden bij de AP. De Autoriteit Persoonsgegevens is de Nederlandse toezichthouder op het gebied van privacy en de bescherming van persoonsgegevens. Deze organisatie ziet erop toe dat bedrijven en instanties zich houden aan de privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG). De AP heeft de bevoegdheid om boetes op te leggen en andere maatregelen te nemen als zij overtredingen constateert.
Waar nemen wij als Flanderijn actief aan deel?
Bij de invoering van de AVG heb ik actief deelgenomen aan het opstellen van een privacy handboek voor de KBvG. Dit handboek fungeert als leidraad voor de beroepsgroep. Momenteel maak ik deel uit van de Commissie Gedragscode Privacy van de KBvG en werken we aan de ontwikkeling van richtlijnen die van toepassing zullen zijn op onze gehele beroepsgroep. Deze richtlijnen onderwerpen we aan een toetsing bij de Autoriteit Persoonsgegevens (AP).
Zie jij ook dat er binnen de maatschappij steeds meer focus komt te liggen op privacy en wat betekent dat voor onze organisatie?
Sinds de invoering van de AVG is er binnen de maatschappij aanzienlijk aandacht besteed aan privacy binnen organisaties. Hoewel de initiële golf van bewustwording is afgenomen, wordt nu verwacht dat het waarborgen van privacy als vanzelfsprekend wordt beschouwd voor bedrijven. Bij Flanderijn werd de AVG in 2018 geïmplementeerd, wat resulteerde in verbeterde bedrijfsprocessen en verhoogde efficiëntie. We hebben nagedacht over dataminimalisatie, waarbij we alleen noodzakelijke gegevens vastleggen, met de nadruk op "need to know" in plaats van "nice to have," zoals vaak benadrukt binnen de AVG. We hebben dit in de praktijk gebracht door bijvoorbeeld in brieven het BSN van een klant te verkorten tot een bepaald aantal cijfers, in plaats van het volledige nummer te gebruiken.
Binnen ons informatiebeveiligingsbeleid hanteren we onder andere de zeven vuistregels van Flanderijn. Daarnaast hebben we een autorisatieschema opgesteld, waarin specifieke rechten en bevoegdheden zijn vastgelegd. Ons ISO 27001-certificaat toont aan hoe serieus we informatiebeveiliging nemen. Het is belangrijk om te laten zien dat Flanderijn deze normen naleeft. Het verbeteren van onze processen toont aan dat we als bedrijf de controle hebben over onze activiteiten.
Waarom vindt Flanderijn privacy van haar klanten en opdrachtgevers zo belangrijk?
Privacy beschouwen wij bij Flanderijn als vanzelfsprekend. Wij bedienen een groot aantal opdrachtgevers en beschikken daardoor over aanzienlijke hoeveelheden gegevens. Het zorgvuldig omgaan met deze gegevens is voor ons niet nieuw.
Welke maatregelen neemt Flanderijn?
De genomen maatregelen op het gebied van informatiebeveiliging vormen een solide basis en verminderen potentiële problemen in een later stadium van een (cyber)incident. In geval van ernstige calamiteiten beschikken we binnen Flanderijn over een Business Continuity Plan (BCP), wat dan in werking treedt.
Het proces van het signaleren, oplossen en actie ondernemen bij incidenten valt onder incidentmanagement. 80% van de incidenten gebeurt op de werkplek. Daarom is het van groot belang dat medewerkers snel melding maken van eventuele problemen, zodat we proactief kunnen handelen.
Het is belangrijk te realiseren dat er geen software bestaat die alles voor 100% beveiligt; het vereist voortdurende inspanningen. We streven ernaar alles te doen wat in onze macht ligt, maar er blijft altijd een kans op een incident. Om snel de impact te kunnen bepalen en op basis hiervan maatregelen te nemen, kunnen de risico’s enorm worden beperkt.
Wij willen Janet bedanken voor haar tijd en de kennis die ze met ons heeft gedeeld over deze dag en de privacyaspecten binnen Flanderijn.