AVG: Stelling 8: ‘Ongestructureerde data (e-mail, shares) zijn niet compliant te krijgen’

In I-bestuur stond een artikel over de AVG. Enerzijds is er schrik voor de invoer van de AVG maar anderzijds biedt de AVG veel kansen om het grip krijgen op de informatiehuishouding.

De toelichting op stelling 8 triggert (althans mij):

Eelco Bonsing ziet het als een van de majeure issues rondom de AVG. “Ik heb daar nog niet echt een pasklaar antwoord op, maar bewustwording en training van mensen speelt daar een grote rol in. Hoe ga ja als gebruiker om met systemen?” Ook Gart Kostermans erkent het probleem. “Wat doe je met SharePoint, wat doe je met al die Office-tools? Wat doe je met ticketingsystemen? Hoe groot is het topic eigenlijk? Daar spelen nog veel vragen.”

Hier is natuurlijk geen pasklaar antwoord op, de stelling is dat dit soort bestanden niet compliant zijn te krijgen.

Eens of oneens of misschien wel er tussen in.

Wat is jouw mening?

Weergaven: 1091

Hierop reageren

Berichten in deze discussie

Ik denk dat bewustwording een zeer grote rol speelt en gaat spelen. Niet alleen bewustwording bij de privacy officer of bij de informatievoorziening. Het moet echt door de gehele organisatie heen, en ook duidelijk worden wat het allemaal betekend. Uiteraard "weten" veel medewerkers dondersgoed dat ze goed met deze gegevens om moeten gaan, maar door bewuster met deze kennis om te gaan kom je een heel eind. Ook met de informatie op deze schijven. Maar of volledige compliant zijn ooit gaat lukken? Ik denk ook niet dat de AVG dat als doel heeft. Het doel is om te zorgen dat er op een verantwoorde manier om wordt gegaan met deze gegevens. Het doel is niet om compliant te worden aan de AVG. Al is dat nu voor veel organisaties wel het doel geworden.

Gerdien, bedankt voor je opmerking. Privacy is inderdaad gen doel op zich en zou in relatie informatiebeveiliging, archivering en beschikbaarstelling benaderd moeten worden.

Ik denk wel dat met maatregelen naar compliancy toe kan worden gewerkt, naar moet worden gewerkt. Je kunt het gewoon niet meer verkopen door alles “ongestructureerd” ergens te dumpen en er niet meer naar om te kijken. 

Ik zeg ook niet dat er niet naar compliancy toegewerkt moet worden. Ik zeg dat dat het doel niet mag zijn. En dus is inderdaad ongestructureerd dumpen geen optie, ben ik  helemaal met je eens.  Maar hierin speelt bewustwording een hele grote rol. De AVG is niet alleen van de privacy officer, de gegevensbescherming of van informatievoorziening. De AVG is van de gehele organisatie voor de gehele organisatie, de burgers, de klanten, de organisaties.
 
Hans Pieterse zei:

Ik denk wel dat met maatregelen naar compliancy toe kan worden gewerkt, naar moet worden gewerkt. Je kunt het gewoon niet meer verkopen door alles “ongestructureerd” ergens te dumpen en er niet meer naar om te kijken. 

Verschillende gemeenten zijn op dit bezig met projecten rondom  netwerkschijven, een goed begin om compliant te worden. Het zal meerdere jaren duren voordat dit soort projecten gerealiseerd zijn.

Ik ben het niet eens met de stelling, ik denk dat er zowel preventie- als reparatiemogelijkheden zijn om ongestructureerde informatie wel degelijk compliant te maken.

Er is bijvoorbeeld techniek op de markt waarmee ongestructureerde informatie semi-geautomatiseerd met machine learning gestructureerd en gemigreerd naar een beheerbaar platform kan worden, zodat e.e.a. alsnog compliant kan worden gemaakt. Die techniek wordt bovendien steeds beter.

Daarnaast zou je als organisatie moeten voorkomen dat zo'n situatie in de toekomst opnieuw ontstaat door toepassing van privacy en archivering "by design".


De vraag is natuurlijk in hoeverre organisaties bereid zijn om hierin te investeren. Daarbij is de ene gegevensverzameling de andere niet, dus ik kan me best voorstellen dat organisaties soms geneigd zijn om de risico's te accepteren en te kiezen voor de sterfhuisconstructie: de legacy laten voor wat-ie is en bij vernieuwing wel goed regelen. Ik ben het eens met Gerdien dat bewustwording een grote rol speelt: aan ons als professionals de schone taak om te wijzen op de risico's en de mogelijkheden om die te ondervangen.

het is goed om ook deze stromen compliant te krijgen. Ik denk dat dit ook goed mogelijk is met software. Zo is er software wat al deze stromen gestructureerd kan verwerken om evt. in dms te plaatsen. Doordat deze software ook voor andere doeleinden gebruikt kan worden en er niet betaald wordt per licentie hoeft de investering zeker niet heel hoog te zijn.

een bestand op zich is niet compliant.
Eens met Bonsing: medewerkers moeten zich bewust zijn van de systemen die gebruikt kunnen worden en waarvoor ze de systemen gebruiken. 
Kostermans geeft eigenlijk aan dat er geen idee is op welke manier de diverse toepassingen worden gebruikt. Dat breng je in beeld en je vraagt je af of dat handig is (inclusief in lijn met geldende regelgeving). Met het in beeld brengen en het maken van keuzes kun je ook werken aan de bewustwording bij medewerkers. Het vereist in gesprek gaan en nadenken. Het afstrepen van een Excellijstje is onvoldoende. Ik ben bang dat veel CISO's en FG's het toch op die manier aan willen pakken. Op papier lijkt het dan misschien of je aan de AVG voldoet, maar dat is niet zo.

De door Bert aangegeven software kan nuttig zijn. Of je houdt jezelf voor de gek met dergelijke toepassingen.

Antwoorden op discussie

RSS

© 2024   Gemaakt door Marco Klerks.   Verzorgd door

Banners  |  Een probleem rapporteren?  |  Algemene voorwaarden