AVG is niet genoeg voor adequate bescherming van data! - VP&P
Voogt Pijl & Partners
Search Icon
×

AVG is niet genoeg voor adequate bescherming van data!

AVG is niet genoeg voor adequate bescherming van data!


In de digitale wereld wordt steeds meer data uitgewisseld, tussen consumenten en bedrijven en tussen bedrijven onderling. Bescherming van data krijgt terecht veel aandacht. Sinds mei 2018 is de AVG wetgeving (algemene verordening gegevensbescherming) effectief geworden. Deze verordening richt zich specifiek op privacy gevoelige informatie. AVG compliance is echter niet voldoende om misbruik van data of systemen te voorkomen. Goed Identity & Access Management is ook nodig.

Data is het nieuwe goud voor organisaties

Data wordt terecht getypeerd als het ‘nieuwe goud’ voor organisaties. Met goede data kunnen snel nieuwe services geleverd worden. Door steeds slimmere algoritmes kan de klant persoonlijker en gerichter worden geholpen. Google geeft ons vliegensvlug toegang tot ongekende hoeveelheden informatie. Bol.com doet op basis van profilering een aantal passende suggesties. De Belastingdienst helpt met automatisch gevulde aangifteformulieren om de jaarlijkse aangifte in een paar minuten af te handelen. In de financiële sector geven apps en services klanten meer directe regie op hun financiële situatie. In alle sectoren draait het steeds meer om slim gebruiken en delen van data.

Delen van persoonlijke data vergroot zorgen over privacy

Veel services / apps vereisen dat de gebruiker bepaalde persoonlijke informatie verstrekt, zoals mailadres, woonadres, telefoonnummer, leeftijd en locatie. Met deze informatie wordt de verdere interactie tussen bedrijf en klant meer gepersonaliseerd. Maar gemak heeft zijn prijs: je betaalt met jouw privacy. Er is overigens een duidelijk verschil hoe verschillende generaties hiermee omgaan. Onderzoek van Gallup geeft aan dat millennials veel vertrouwen hebben dat bedrijven zorgvuldig omgaan met hun persoonlijke informatie. Baby boomers hebben daar minder vertrouwen in. De zorgen over adequate privacybescherming nemen toe door frequente incidenten met oneigenlijk datagebruik door grote bedrijven en hackers die gegevens of zelfs hele identiteiten stelen. Ook verkopen bedrijven zonder toestemming persoonlijke gegevens aan andere bedrijven.

AVG is de basis voor bescherming van gegevens

De Europese AVG wetgeving speelt in op deze zorgen. Bedrijven worden verplicht zorgvuldig met privacygevoelige informatie om te gaan. Bedrijven die veel klantgegevens verwerken moeten bijvoorbeeld verwerkingsregisters hebben die aangeven welke privacygevoelige informatie door welke systeem op welke manier wordt gebruikt (‘privacy by design’). Ook moesten bedrijven processen inrichten om op verzoek van klanten specifieke persoonlijke informatie op te leveren, te verwijderen of aan te passen. Grote projecten waren nodig om de verschillende processen en procedures in te richten voor de AVG-deadline van mei 2018. Voor veel bedrijven was dit een zware bevalling.

Goed Identity & Access Management is ook nodig

AVG is dus belangrijk voor de bescherming van privacygevoelige data. Het biedt echter geen complete bescherming tegen misbruik van data. Ook Identity & Access Management (IAM) moet binnen organisaties worden geïmplementeerd voor 'precies genoeg systeem- en data-rechten voor medewerkers, op ieder moment'. Teveel rechten is een fors risico. Als bedrijf wil je voorkomen dat medewerkers ongemerkt geld overmaken naar een eigen rekening. Of dat zij onterecht inzage hebben in de persoonlijke informatie van klanten. Te weinig toegangsrechten kan ook problemen opleveren. Het schrikbeeld is een arts op de Eerste Hulp die in levensbedreigende situatie geen directe inzage heeft in het dossier van een hartpatiënt.

Helaas krijgt het onderwerp Identity & Access Management (IAM) binnen organisaties nog onvoldoende aandacht. Hier gaan we in een volgend artikel verder op in. Waarom is een goede implementatie van IAM zo lastig?
Douwe

Douwe van der Meer

Lees meer over Douwe

Volg ons op LinkedIn, regelmatig posten wij updates over onze visie op de sector en over bureauontwikkelingen.