Op het gebied van informatiebeveiliging zijn (nog) niet heel erg veel relevante wetten waaraan we ons verplicht moeten houden. Uit algemene wetgeving kunnen we natuurlijk wel afleiden dat we ons als goed huisvader dienen te gedragen. In hoeverre we “goed” dan nader definiëren is aan onszelf. Toch is er minimaal een wet waaraan we ons moeten houden als we gegevens van personen ontvangen, opslaan en hopelijk tijdig weer verwijderen.
De vraag die hierbij hoort is:
Wordt regelmatig getoetst of de bepalingen van de Wet Bescherming Persoonsgegevens worden nageleefd?
Onze klanten kopen bij ons omdat ze ons vertrouwen (of omdat ze nu eenmaal geen andere aanbieder hebben, maar daar gaan we voor nu even niet vanuit). Als dat zo is dan mogen wij dat vertrouwen niet schaden, dat is niet alleen niet netjes maar zal er ook voor zorgen dat de klanten massaal hun biezen pakken en nooit meer terug zullen keren.
Kennen we niet allemaal de regel dat het behouden van een klant vele malen makkelijker is dan het werven van een nieuwe? Dat mag dan vanuit verkoop en marketing helemaal waar zijn, maar vanuit informatiebeveiliging moeten we daar dan ook actief een bijdrage aan leveren. Het is onze taak om de gegevens van personen goed beveiligd te houden.
Dat klinkt misschien niet zo ingewikkeld en wordt ook als niet meer dan logisch ervaren. Toch zien we in de praktijk vele incidenten waarbij de privé gegevens van klanten op straat zijn geraakt. Systemen worden gehackt, databases worden openbaar en USB-sticks met gegevens worden verloren. Allemaal zaken waar we bij informatiebeveiliging natuurlijk stil bij willen staan.
Maar we mogen ook niet vergeten dat we de persoonsgegevens opslaan met een bepaald, vooraf gesteld en bekend gesteld, doel. Buiten dat doel om mogen we die gegevens niet gebruiken voor bijvoorbeeld commerciële doeleinden…tenzij we daar expliciet toestemming voor hebben gekregen.
Doen we het op een handige manier dan mogen we die gegevens intern nog op een redelijke wijze gebruiken, het wordt al anders als we besluiten die gegevens ook aan anderen te verkopen. Natuurlijk kunnen we ergens in de kleine lettertjes opnemen dat dat ons recht is en als men daar niet mee instemt dat de deal dan helaas niet door kan gaan. Maar hiermee hebben we toch redelijk boter op ons hoofd. Laten we eerlijk zijn, hoe lang geleden was het dat jij zelf de kleine lettertjes bij een contract hebt gelezen? Lang? Nooit?
Vertrouwen is goed, controle is beter. Heb je zelf wel eens je persoonsgegevens in moeten vullen en werd je daarna verrast met allerlei reclamemateriaal of telefoontjes? Grote kans dat je gegevens verkocht zijn. Wil je het controleren dan kun je natuurlijk je persoonsgegevens zodanig kenmerken dat je kunt herleiden waar je ze hebt ingevuld en hoe die dan weer zijn verkocht. Je kunt dat bijvoorbeeld doen door op het formulier eens een andere voorletter in te vullen of bijvoorbeeld de eerste twee voorletters van je voornaam. Moet je eens doen en dan kijken welke adresetiketten daar wel erg mee overeen komen.
Moet je digitaal je gegevens ergens achterlaten dan kun je natuurlijk altijd een gratis emailadres aanmaken bij Hotmail, Gmail of iedere andere gratis aanbieder. Die kun je dan mooi gebruiken als je weer eens op een site je adres moet achterlaten. De SPAM komt dan vele malen eerder daar terecht dan in de mailbox die je voor meer serieuze zaken gebruikt.
Als we terug komen op het feit waarom men bij ons koopt dan gaat het er dus om dat ze ons vertrouwen. Dat vertrouwen mogen we niet te grabbel gooien omdat we dan de deksel lelijk op onze neus kunnen krijgen. Natuurlijk doen we er met allerlei beveiligingsmaatregelen van alles aan om die gegevens te beschermen (toch?), maar daarnaast zullen we dus met de verkoop en marketing afdeling in overleg moeten om legitiem gebruik van die gegevens vast te leggen.