De meeste organisaties zijn vast dagelijks volop bezig met gegevensveiligheid, met de rechten van natuurlijke personen op privacy en zoeken naar een mooie mix van maatregelen.
Soms gaan die maatregelen niet zomaar even spontaan samen. Gegevensveiligheid borgen én privacyrechten. Een mooi voorbeeld van enige spanning is wel de backup.
Om de beschikbaarheid van de gegevens te verbeteren bij of na een calamiteit, bijvoorbeeld ook met een versie buiten je kantoor of in de cloud, heb je besloten de backup- en recoveryprocedure uit te breiden . En dan blijkt dat je nu ineens voor 2 of 3 gegevensverzamelingen extra moet nadenken hoe de privacy geborgd moet worden.
Als je besluit een gegevensverzameling aan te leggen dan trek je ook de verantwoordelijkheid voor die gegevens je organisatie in.
Heb ik de (alle) gegevens wel nodig?
Heb ik ook een goede grondslag zoals bedoeld in de AVG?
En daarna bij elke aanpassing in de procedures of werkwijze nadenken over de gegevensveiligheid en de privacy. Zodat de ene maatregel een andere niet werkloos maakt. Goed om dit als beleid mee te nemen bij elke stap en wijziging. Beter dan achteraf.
Vandaag (12 september 2023) deelde de KNVB (eigen website) mee in de prijzen te zijn gevallen. Een hack met een zeer gevoelige informatie-opbrengst én datalek voor de betrokken spelers en anderen. Er staat niet bij dat dit komt door bv een backup-procedure, nee de KNVB geeft geen info daarover. Maar de KNVB geeft wel op haar site aan na deze calamiteit toch nieuwe stappen te nemen. Aanhaling: “We laten ons daarom adviseren door externe specialisten om te beoordelen op welke punten onze beveiliging verder kan worden aangescherpt.”
Een gegevensverzameling aanleggen is één, beveiligen en privacyrechten borgen twee en drie. Ook juist bij veranderingen in organisatie of werkwijze.