Data/Information Governance

Het bestuur van elke organisatie is direct verantwoordelijk voor het naleven van de wet- en regelgeving op het gebied van databeveiliging, dataretentie en archiefbeheer.

De straffen voor het niet naleven van deze voorschriften zijn zwaar, van reputatieschade, aandelenkoersschade tot strafrechtelijke vervolging, boetes en desertie van klanten.

Over de hele wereld wordt wetgeving inzake gegevensbescherming en privacy steeds belangrijker en steeds zwaarder. Op deze pagina vindt u een korte inleiding tot de uitdaging op het gebied van gegevensbescherming waarmee u wordt geconfronteerd.

Informatiebeheer in de Britse publieke sector

De Britse publieke sector wordt geconfronteerd met een groeiend aantal uitdagingen op het gebied van informatiebeheer. Een belangrijke uitdaging is het beheren van de overlapping tussen de Data Protection Act (DPA) en de Freedom of Information Act (FOI).

Lees Gegevensbescherming versus vrijheid van informatie voor handige, praktische begeleiding bij het aanpakken van deze problemen.

Andere nuttige bronnen zijn:

  • The Information Governance Toolkit: Data Protection, Caldicott, Confidentiality
  • Data Protection Compliance in the UK
  • ISO27799 – Health Infomatics & Information Security in the Health Sector

Data Protection

Over de hele wereld wordt wetgeving inzake gegevensbescherming en privacy steeds belangrijker en steeds zwaarder. Ook komen er regelmatig nieuwe wetten op dit gebied. Veel van deze wetten overlappen elkaar of zijn in tegenspraak met elkaar, en slechts weinigen beschikken over gedetailleerde richtlijnen voor de implementatie van regelgeving of zinvolle jurisprudentie.

Bestaande wetgeving omvat HIPAA, GLBA, SB 1386, OPPA, de Fair Credit Reporting Act (FCRA) in de Verenigde Staten, canada's PIPEDA, de EU-richtlijn gegevensbescherming (iets anders geïmplementeerd in elk EU-land) en amerikaanse bedrijven regelgeving om vervolging te ontwijken op grond van EU-regelgeving), evenals Britse wetgeving zoals de Human Rights Act , de wet op de regulering van onderzoeksbevoegdheden en diverse telecommunicatie-, verkoop op afstand en anti-spammaatregelen. Al deze elementen vormen samen een grote compliance-uitdaging voor alle organisaties.

Er bestaan zeer specifieke richtlijnen voor de Uk Data Protection Act (DPA). Alle Britse organisaties moeten voldoen aan de DPA en alle organisaties in de publieke sector aan FOIA.

Het implementeren en onderhouden van een ISO27001-gecertificeerd informatiebeveiligingsbeheersysteem is de voor de hand liggende manier om te voldoen aan de DPA, met name het 7e principe, dat vereist dat organisaties passende technische en organisatorische stappen nemen om persoonsgegevens te beveiligen.

In het VK moeten organisaties in de publieke sector ook voldoen aan de Freedom of Information Act (FOIA).

International compliance

Het is voor Noord-Amerikaanse en internationale bedrijven niet eenvoudig om te bepalen welke stappen hen zouden kunnen helpen om aan dit brede scala aan nalevingsvereisten te voldoen.

Dit is waar ISO / IEC 27002 bijzonder nuttig kan zijn. Het bevat internationale beste praktijken op het gebied van informatiebeveiliging, en de begrippen vertrouwelijkheid, integriteit en beschikbaarheid van gegevens, die de kern vormen van ISO27002, zijn ook opgenomen in de meeste informatiegerelateerde regelgeving.

Litigation

In de huidige, steeds meer litigieuze wereld is paraatheid voor geschillen een verstandige manier om een ​​elementair bedrijfsrisico te beheren. Elektronische documenten (waaronder alle e-mails) zijn altijd van cruciaal belang voor elke rechtszaak en organisaties moeten passende maatregelen nemen om ervoor te zorgen dat ze kunnen voldoen aan de eisen van de rechtbank voor het overleggen van bewijsmateriaal.

Best practice in this field is contained in BIP 008, the “Code of Practice for Legal Admissibility and Evidential Weight of Information Stored Electronically”.

Email, Information and Records Management

E-mail is essentieel voor communicatie binnen de organisatie. Er zijn potentieel aanzienlijke kosten en risico's verbonden aan het zakelijke gebruik van e-mail, waaronder operationele, regelgevende en juridische risico's.

Deze risico's veranderen en evolueren, en organisaties zouden best-practice frameworks moeten gebruiken om hun reactie op deze risico's te sturen. Organisaties hebben end-to-end oplossingen voor e-mailbeheer, retentie, onderhoud en archivering nodig waarmee ze tegelijkertijd kunnen voldoen aan huidige en opkomende zakelijke en wettelijke vereisten.

E-mailoplossingen moeten worden samengevoegd met oplossingen voor informatie- en recordbeheer. Afgezien van de algemene informatiebeveiligingsrichtlijnen van ISO27002, kunnen organisaties zich wenden tot het best-practiceframework voor documentbeheer dat is opgenomen in ISO15489.

Een meer gedetailleerde specificatie voor het beheer van elektronische records is opgenomen in Model Requirements for Management of Electronic Records ("MoReq").

Data Retention Periods

Bewaartermijnen voor gegevens zijn een gebied waar de meeste bedrijven onvoldoende aandacht aan besteden.

Het is een feit dat voor de meeste bedrijven een groot aantal wet- en regelgeving is die bepalen hoe lang gegevens, waaronder informatie over e-mail en instant messaging, moeten worden bewaard.

Dit hele gebied wordt natuurlijk steeds gecompliceerder als u bedenkt dat sommige e-mails financiële of personeelsinformatie kunnen bevatten en daarom mogelijk moeten worden bewaard voor andere periodes dan die voor gewone e-mails.

nl_BENL
en_USEN fr_FRFR nl_BENL
X