Sertalink

sales@sertalink.com  BE: +32(0)3/337.17.01.    LUX: +352(0)27/94.06.59.

Sertalink

Data / Information Governance

Homepage / Data Governance & Compliance / Data-Information Governance

Het bestuur van elke organisatie is direct verantwoordelijk voor het naleven van de wet- en regelgeving op het gebied van databeveiliging, dataretentie en archiefbeheer.

De straffen voor het niet naleven van deze voorschriften zijn zwaar, van reputatieschade, aandelenkoersschade tot strafrechtelijke vervolging, boetes en desertie van klanten.

Over de hele wereld wordt wetgeving inzake gegevensbescherming en privacy steeds belangrijker en steeds zwaarder. Op deze pagina vindt u een korte inleiding tot de uitdaging op het gebied van gegevensbescherming waarmee u wordt geconfronteerd.

Informatiebeheer in de Britse publieke sector

De Britse publieke sector wordt geconfronteerd met een groeiend aantal uitdagingen op het gebied van informatiebeheer. Een belangrijke uitdaging is het beheren van de overlapping tussen de Data Protection Act (DPA) en de Freedom of Information Act (FOI).

Lees Gegevensbescherming versus vrijheid van informatie voor handige, praktische begeleiding bij het aanpakken van deze problemen.

Andere nuttige bronnen zijn:

  • The Information Governance Toolkit: Data Protection, Caldicott, Confidentiality
  • Data Protection Compliance in the UK
  • ISO27799 – Health Infomatics & Information Security in the Health Sector

Data Protection

Over de hele wereld wordt wetgeving inzake gegevensbescherming en privacy steeds belangrijker en steeds zwaarder. Ook komen er regelmatig nieuwe wetten op dit gebied. Veel van deze wetten overlappen elkaar of zijn in tegenspraak met elkaar, en slechts weinigen beschikken over gedetailleerde richtlijnen voor de implementatie van regelgeving of zinvolle jurisprudentie.
Existing legislation includes HIPAA, GLBA, SB 1386, OPPA , the Fair Credit Reporting Act (FCRA) in the US, Canada’s PIPEDA, the EU’s Data Protection Directive (implemented slightly differently in each EU country) and the EU Safe Harbor regulations (which enable US companies to escape prosecution under EU regulations), as well as UK legislation such as the Human Rights Act, the Regulation of Investigatory Powers Act and various telecommunications, distance selling and anti-spam measures. These all combine to make a significant compliance challenge for all organisations.

Very specific guidance exists for the UK’s Data Protection Act (DPA). All UK organisations must comply with the DPA and all public sector ones with the FOIA.

Het implementeren en onderhouden van een ISO27001-gecertificeerd informatiebeveiligingsbeheersysteem is de voor de hand liggende manier om te voldoen aan de DPA, met name het 7e principe, dat vereist dat organisaties passende technische en organisatorische stappen nemen om persoonsgegevens te beveiligen.

In het VK moeten organisaties in de publieke sector ook voldoen aan de Freedom of Information Act (FOIA).

International compliance

Het is voor Noord-Amerikaanse en internationale bedrijven niet eenvoudig om te bepalen welke stappen hen zouden kunnen helpen om aan dit brede scala aan nalevingsvereisten te voldoen.

Dit is waar ISO / IEC 27002 bijzonder nuttig kan zijn. Het bevat internationale beste praktijken op het gebied van informatiebeveiliging, en de begrippen vertrouwelijkheid, integriteit en beschikbaarheid van gegevens, die de kern vormen van ISO27002, zijn ook opgenomen in de meeste informatiegerelateerde regelgeving.

Litigation

In today’s increasingly litigious world, preparedness for litigation is a sensible way to manage a basic business risk. Electronic documents (which include all emails) are always critical to any court case, and organisations need to take appropriate action to ensure that they can comply with court requirements for the production of evidence.

Best practice in this field is contained in BIP 008, the “Code of Practice for Legal Admissibility and Evidential Weight of Information Stored Electronically”.

Email, Information and Records Management

E-mail is essentieel voor communicatie binnen de organisatie. Er zijn potentieel aanzienlijke kosten en risico's verbonden aan het zakelijke gebruik van e-mail, waaronder operationele, regelgevende en juridische risico's.

Deze risico's veranderen en evolueren, en organisaties zouden best-practice frameworks moeten gebruiken om hun reactie op deze risico's te sturen. Organisaties hebben end-to-end oplossingen voor e-mailbeheer, retentie, onderhoud en archivering nodig waarmee ze tegelijkertijd kunnen voldoen aan huidige en opkomende zakelijke en wettelijke vereisten.

E-mailoplossingen moeten worden samengevoegd met oplossingen voor informatie- en recordbeheer. Afgezien van de algemene informatiebeveiligingsrichtlijnen van ISO27002, kunnen organisaties zich wenden tot het best-practiceframework voor documentbeheer dat is opgenomen in ISO15489.

A more detailed specification for electronic records management is contained in Model Requirements for Management of Electronic Records (“MoReq”).

Data Retention Periods

Bewaartermijnen voor gegevens zijn een gebied waar de meeste bedrijven onvoldoende aandacht aan besteden.

Het is een feit dat voor de meeste bedrijven een groot aantal wet- en regelgeving is die bepalen hoe lang gegevens, waaronder informatie over e-mail en instant messaging, moeten worden bewaard.

Dit hele gebied wordt natuurlijk steeds gecompliceerder als u bedenkt dat sommige e-mails financiële of personeelsinformatie kunnen bevatten en daarom mogelijk moeten worden bewaard voor andere periodes dan die voor gewone e-mails.

X