Bijna een jaar geleden publiceerde het Information Commissioner's Office hun bevindingen over de manier waarop een selectie van lokale autoriteiten hun werk uitvoerde probleembehandeling en informatierisico. Nu de ICO heeft hun AVG-richtlijnen bijgewerkt voor de lokale overheid, met name op het gebied van het melden van inbreuken en DPO's.
De ICO beveelt leiders en senior managers in de lokale overheid aan bijzondere aandacht te besteden aan de manier waarop zij risico's, informatie en personeelstraining zullen beheren. Net zoals:
Het is ook belangrijk om dat te zijn bewust van het beleid van de lokale overheid rond transparantie en het vrijgeven van informatie aan het publiek, in het geheim aan partners, of voor het beveiligen van gegevens.
Zoals hierboven aangestipt, effectieve informatiebeveiligingstraining moet aan alle personeelsleden worden gegeven. Ze moeten begrijpen hoe belangrijk het is ervoor te zorgen dat alleen relevante informatie naar externe ontvangers wordt verzonden en stappen ondernemen om ervoor te zorgen dat de informatie wordt ontvangen.
Het Information Commissioner's Office heeft een lijst met vragen opgesteld die leiders en senior managers zichzelf moeten stellen persoonlijke informatie.
Dit is een verwijzing naar het doelbindingsbeginsel in artikel 5 van de AVG, waarin staat dat “persoonsgegevens moeten worden verzameld voor gespecificeerde, expliciete en legitieme doeleinden en niet verder worden verwerkt op een manier die onverenigbaar is met die doeleinden”.
Als het nieuwe of gewijzigde doel voor de verwerking van gegevens hetzelfde is als het oorspronkelijke, hoeft u niet naar een nieuw doel te zoeken wettelijke basis, tenzij de oorspronkelijk gebruikte grondslag toestemming was. Wanneer u een nieuwe grondslag overweegt, moet u ervoor zorgen dat deze in het algemeen belang is of bestemd is voor wetenschappelijk onderzoek en statistische doeleinden.
Door ervoor te zorgen dat contactgegevens up-to-date zijn, evenals toestemming, kunt u tijd en geld besparen, waardoor het aantal brieven dat naar de verkeerde adressen wordt gestuurd en het aantal e-mails naar personen die niet geïnteresseerd zijn in uw nieuws of diensten, wordt verminderd.
De De AVG stelt dat bij het verzamelen van persoonsgegevens, moet er een tijdsbestek worden opgegeven om aan te geven hoe lang u van plan bent de gegevens te bewaren.
De Algemene Verordening Gegevensbescherming wijzigt de vereisten voor het melden van een inbreuk aan het Information Commissioner's Office. Een inbreuk moet binnen 72 uur nadat de organisatie hiervan op de hoogte is gesteld, worden gemeld. Als de lokale overheid aan deze eis wil voldoen, duidelijke incidentplanning moet om te beginnen aanwezig zijn.
Wat moeten de lokale overheden zich dan afvragen?
Zorg ervoor dat al het personeel op de overheidsafdeling begrijpt wat een datalek is en één keer kan identificeren. Dit gaat zowel over de werkcultuur als over een opleidingsmogelijkheid. De leiders in een organisatie moet het goede voorbeeld geven.
Stel een reactieplan op voor het aanpakken van eventuele inbreuken op persoonsgegevens en zorg ervoor dat het personeel weet wie de inbreuken zijn verantwoordelijke persoon is voor het melden van inbreuken naar de ICO.
Creëer processen om te beoordelen of een inbreuk waarschijnlijk een risico van de rechten en vrijheden van individuen, het op de hoogte stellen van de ICO van een inbreuk en een plan voor voortdurende verbetering.
Er moeten minimale slaagcijfers worden vastgesteld voor de opleiding van personeel rond AVG en gegevensbescherming. In bepaalde omstandigheden, gespecialiseerde opleiding op het gebied van informatiebeveiliging kan nodig zijn. De AVG suggereert dat de training jaarlijks moet worden vernieuwd.
Een praktijkgerichte sessie op maat, afgestemd op uw wensen en doelstellingen