Met de digitalisering van onze samenleving is ook het belang van goede digitale privacy groter geworden. Bedrijven bevinden zich steeds vaker in de digitale wereld, maar krijgen daardoor ook al steeds sneller te maken met privacygevoelige informatie. De simpelste dingen vallen hier al onder. Denk bijvoorbeeld aan een persoonlijk e-mailadres dat je ontvangt voor het versturen van een offerte. De gegevens die je krijgt om de offerte op te stellen, moeten veilig worden opgeborgen. Dat is niet altijd gemakkelijk. Dat blijkt wel als we kijken naar de cijfers van cybercriminaliteit. Cybercriminelen liggen overal op de loer en azen op dit soort persoonlijke informatie.
Volgens de privacywet Algemene Verordening Gegevensbescherming ben je als ondernemer verplicht om deze gegevens te beschermen.Je hebt dus een wettelijke plicht om hieraan te werken. Er staat echter niet uitgelegd hoe je dit dan moet doen. Lastig, want cybercriminelen worden steeds slimmer en jij mag op dit gebied dus niet verslapen. Maar hoe bescherm je de privacy en dus zeer gevoelige informatie van klanten? Waar begin je?
Vraag een ISO 27001 certificaat aan
www.digitrust.nl is een bekende specialist in het realiseren van audits en certificaten op het gebied van ISO 27001. ISO 27001 wordt ook wel als de internationale norm voor informatiebeveiliging gezien. Hoewel een dergelijk certificaat niet verplicht is, is het bij veel organisaties wel een eis. Als je hier niet over beschikt, kunnen veel samenwerkingen niet gestart worden. De meeste bedrijven hechten hier veel waarde aan. Hiermee wordt immers aangetoond dat de informatiebeveiliging van het bedrijf op orde is. Dat levert je ook commercieel gezien een betere positie op in de markt.
Voordat je een ISO 27001 certificering kunt ontvangen, wordt de informatiebeveiliging van het bedrijf eerst uitvoerig gecontroleerd. Hierbij wordt de context van het bedrijf als kernvoorwaarde gebruikt. Elk bedrijf is immers anders. Zo zullen er geheel andere eisen worden gesteld aan een zorginstelling dan aan een webshop.
Enkel gegevens waar je ook echt iets aan hebt
Het is belangrijk om zo min mogelijk gegevens van de klant op te slaan. Enkel hetgeen waar je ook echt iets aan hebt. Denk bijvoorbeeld aan een geboortedatum. Dat is niet in elke situatie relevant. Wees je er dus van bewust dat de gegevens ook daadwerkelijk van toepassing moeten zijn op wat je levert. Is het niet nodig om aan te tonen dat de klant ouder dan 18 jaar is? Dan kun je deze vraag gemakkelijk overslaan. Hoe minder gevoelige informatie je verzamelt, des te beter het is.
Houd er ook rekening mee hoe lang je deze gegevens mag bewaren. Over het algemeen geldt dat dit niet langer dan nodig mag zijn. Dit zien we ook terug in de keuring bij het Webshop Keurmerk. In de privacyverklaring moet het bedrijf aangeven dat ze gevoelige informatie niet onnodig lang vast zullen houden. Deze privacygevoelige gegevens moeten bijvoorbeeld na een x-aantal maanden of jaren verwijderd worden.