Blog: “Does size matter? Or does the process also count?"
Honderd procent vertrouwelijk verwerken: enig idee wat dat betekent? Als manager Destra binnen Renewi heb ik toch veel verschillende versies daarvan gehoord. Maar om het vertrouwelijk verwerken hangt sluier van onduidelijkheid. In deze blog neem ik je graag mee in de wereld van vertrouwelijke verwerking.
Privacy richtlijn
Door de invoering van de GDRP / AVG zijn veel bedrijven gefocust op wat er gebeurt met hun data (archief/ data / producten). Omdat de GDPR alleen omschrijft dat de gegevens verantwoordelijk op een juiste manier data moet vernietigen, zijn er veel bedrijven die zelf iets bepalen. Hierdoor zien we in de markt enorme verschillen waarbij vooral gekeken wordt naar de snipper grootte. Overigens hebben we in Nederland gewoon een gecertificeerde richtlijn, de CA+ norm*, voor vertrouwelijke vernietiging.
Is dat dan geen goede referentie?
De snipper grootte zegt wel degelijk iets over de mate waarin iets vernietigd wordt. Wanneer je echt een oordeel wil vellen over de vernietiging of zoals ik het benoem vertrouwelijke verwerking dan moet je het gehele proces inzichtelijk maken.
Don’t expect what you didn’t inspect.
Dus het totale proces bekijken? Klopt begin bij het interne proces, waar komt data vrij? Wat gebeurt er daarna? Bekijk elke stap. Zowel de stappen die intern als extern plaatsvinden. Welke leverancier haalt data op? Wat voor vrachtwagen en chauffeur worden ingezet? Waar gaat jouw data vervolgens naartoe en hoe gaat het bedrijf dan om met jouw facturen, administratieve documenten, werknemersgegevens, rapporten etc.? Dat klinkt heel logisch maar waarschijnlijk zijn er een aantal stappen waar je niet precies van weet wat er in de werkelijkheid gebeurt.
Zorg ervoor dat je juist die vragen stelt en een goed antwoord daarop terug krijgt. Twijfel je? Ga dan kijken en beoordeel zelf of dit proces jou de vertrouwelijkheid biedt die noodzakelijk is. Met andere woorden “Don’t expect what you didn’t inspect”. Als de snippers klein zijn, maar de data is vrij toegankelijk voor derden tussen het vrijkomen en vernietigen,dan staat de vertrouwelijkheid echt op de tocht. De grootte van de snipper is dat geval ondergeschikt. De grootte heeft wel degelijk toegevoegde waarde maar is gewoon op zichzelf niet voldoende om vertrouwelijkheid te borgen!
*Die CA+ Norm waar je het over hebt wat is dat?
In Nederland hebben we dus de CA+ norm waarin beschreven is hoe een gecertificeerd CA+ bedrijf data behoort in te zamelen, transporteren en uiteindelijk vertrouwelijk verwerken. Vraag dus naar de certificering van het bedrijf dat de data ophaalt en kijk anders op https://www.ca-plus.nl.
Arend Verhoeven, Renewi Nederland B.V.
