Voorkom een inbreuk op ieders privacy met DMS

Kort na de inwerkingtreding van de algemene verordening gegevensbescherming in mei 2018 werden de eerste datalekken bekend. In de meeste gevallen werden ook hoge boetes opgelegd. Om te voorkomen dat iets soortgelijks uw bedrijf overkomt, kunnen de schendingen van andere bedrijven een goed voorbeeld zijn van wat in eigen huis absoluut moet worden vermeden.

Österreichische Post AG krijgt boete van 18 miljoen euro

In oktober 2019 was een van de eerste bedrijven die in het nieuws kwam voor de schending van het AVG Österreichische Post AG. Het bedrijf had individuele gegevensprofielen verzameld en op de markt gebracht van in totaal 2,2 miljoen mensen. Deze dataprofielen bevatten onder meer de bedrijfsaffiniteit van de betrokken burgers, informatie over de frequentie van verschepingen en de frequentie van pakketbezorging.

Plaats campagne-advertenties op een meer gerichte manier

De bedrijfsaffiniteit werd bepaald met behulp van een rekenmodel dat enquêtes, extrapolaties, verkiezingsresultaten en statistieken omvatte en vervolgens vergeleken met de persoonlijke gegevens van het individu. Het doel van deze gegevensverzameling was om de relevante partijen in staat te stellen meer gerichte campagneadvertenties te sturen.

Delicate straf

Volgens de Österreichische Post AG was dit een juridische procedure voor marketinganalyse. De Oostenrijkse gegevensbeschermingsautoriteit legde echter een administratieve boete op van 18 miljoen euro. Het postbedrijf heeft artikel 9 AVG geschonden, dat de verwerking van zogenaamde "speciale categorieën van persoonsgegevens" strikt verbiedt.

Speciale gegevens hebben speciale bescherming nodig

Dit type gegevens omvat bijvoorbeeld etnische afkomst of seksuele geaardheid, maar ook politieke attitudes. Er is ook een schending van artikel 7 AVG omdat betrokkenen niet op de hoogte waren van de gegevensverwerking.

Schendingen van gegevensbescherming in heel Europa

Duitsland is verre weg van het enige land waar al veel boetes zijn opgelegd voor schendingen van de gegevensbeschermingswet. Zo veroordeelde CNIL, de Franse gegevensbeschermingsautoriteit, de Google Group tot een boete van 50 miljoen euro.

Niet elke medewerker heeft toegang tot gegevens nodig

Er was ook een ernstige overtreding van de AVG in Portugal, wat resulteerde in een boete van 400.000 euro. Dit betrof een ziekenhuis waar te veel mensen toegang hadden tot gevoelige patiëntgegevens.

Een totaal van 200 miljoen voor British Airways

British Airways, de luchtvaartmaatschappij uit het Verenigd Koninkrijk, scoorde het hardst met een recordboete van 200 miljoen euro. In dit geval was dit geen misbruik van gegevens van de kant van de groep, maar eerder een beveiligingslek in de IT van de luchtvaartmaatschappij, waardoor onbevoegde personen toegang konden krijgen tot de gegevens van ongeveer een half miljoen mensen.

Ook aansprakelijk voor aanvallen

Blijkbaar hebben de aanvallers klanten omgeleid naar een neppagina, waar ze vervolgens hun persoonlijke gegevens hebben ingevoerd. Op deze manier konden ze vervolgens worden afgeluisterd door de aanvallers. Met name dit geval maakt duidelijk dat uw eigen 'goede bedoelingen' niet altijd doorslaggevend zijn voor een gegevensbeschermingsschandaal.

Hoe voorkom je zware boetes?

Het kan gebeuren dat er te weinig nadruk wordt gelegd op technische gegevensbescherming in het eigen bedrijf. Maar hoe bescherm je jezelf adequaat tegen mogelijke schendingen - vooral als ze onbedoeld door menselijke fouten gebeuren?

Beveilig uw eigen IT-structuur

Allereerst moet ervoor worden gezorgd dat gegevens nooit voor een ander doel worden gebruikt dan waarvoor ze oorspronkelijk zijn verzameld. Een klant kan zijn overeengekomen om bepaalde gegevens bekend te maken om redenen van klantenservice. Dit betekent echter niet dat ze ook voor marketingdoeleinden mogen worden gebruikt of dat ze zonder toestemming van de klant aan derden mogen worden doorgegeven.

Gegevensbescherming in het DMS

In het geval van het Portugese ziekenhuis werd een hoge boete opgelegd omdat te veel mensen toegang hadden tot patiëntgegevens - een probleem dat in principe snel en gemakkelijk kan worden opgelost. Diverse fabrikanten van documentbeheersystemen hebben zich gespecialiseerd in de zorg en weten dat bij het omgaan met gevoelige patiënt- en gezondheidsgegevens speciale veiligheidsmaatregelen moeten worden genomen.

Toegangsrechten per medewerker

In dit geval zou echter waarschijnlijk een filiaalonafhankelijk DMS met een gestandaardiseerd roltoewijzingssysteem voldoende zijn geweest. Een roltoewijzingssysteem kan worden gebruikt om te bepalen welk type gebruiker welke toegangsrechten heeft tot welke documenten in het DMS. De juiste rechten hoeven niet voor elke gebruiker afzonderlijk te worden toegewezen.

Verwijderingsfuncties doen denken aan deadlines

Bij een schending van de gegevensbescherming van werknemers in Nedersaksen werden gegevens "onnodig lang" in het systeem opgeslagen. Dit kan ook automatisch worden voorkomen met een geschikte spanningsmeter zonder handmatige tussenkomst. Op deze manier kunnen gestandaardiseerde verwijderingsperioden worden ingesteld in de DMS. Nadat de wettelijk gereguleerde bewaartermijn is verstreken, kunnen overeenkomstige documenten uit het systeem worden verwijderd.

Beveiligingsmaatregelen moeten worden genomen

Maar zelfs het krachtigste DMS heeft weinig zin als de beveiliging van de IT-infrastructuur zelf hiaten vertoont. In het geval van British Airways kunnen aanvallers de website van het bedrijf manipuleren. Om deze reden moet er altijd voor worden gezorgd dat vooraf passende beveiligingsmaatregelen worden genomen om het systeem en de erin verwerkte gegevens te beschermen.

Van end-to-end encryptie (kortweg E2EE) in datatransmissie tot fysieke serverbeveiliging, technische gegevensbescherming is een gebied waarop bedrijven niet licht over moeten denken.