Indentificatie persoonsgegevens

Terug

Er zijn diverse digitale en non-digitale systemen die gebruikt worden om persoonsgegevens te verwerken. Voor al deze verwerkingen zijn juridische, organisatorische en/of technische maatregelen beschikbaar om de verwerkte persoonsgegevens te  beschermen.

Waar vind ik persoonsgegevens?

De algemene aanpak en de C-Future specifieke aanpak beginnen met het inventariseren van de bestaande situatie. Het is belangrijk om eerst te weten welke persoonsgegevens uw organisatie verwerkt en welke systemen hiervoor gebruikt worden.

Zodra de persoonsgegevens geïdentificeerd zijn kunnen we verder gaan met de maatregelen die nodig zijn om de persoonsgegevens op een adequate wijze te beschermen.

Onderstaande lijst geeft een beeld  van de systemen waar normaliter de persoonsgegevens terug te vinden zijn. Een assessment zal uitwijzen of dit ook geldt voor uw organisatie en of er nog andere systemen zijn waar persoonsgegevens worden verwerkt.

Databases (gestructureerde gegevens)
De data die op een gestructureerde wijze gebruikt wordt door applicaties bevindt zich in relationele databases zoals Microsoft SQL Server, Oracle, MySQL, Microsoft Access e.a.. Hierin bevindt zich meestal het grootste deel van de persoonsgegevens doordat primaire applicaties zoals ERP, CRM, WMS, OMS, Datawarehouses e.a. gebruiken maken van dergelijke databases.

E-mail
Binnen de E-mail bevindt zich in mailboxen en mailarchieven. De mailsystemen hiervoor bevinden zich vaak deels in de Public/Private Cloud, On Premise in het eigen datacenter en lokaal in de vorm van een mail client.

File Shares en papieren dossiers
Gebruikers gebruiken binnen processen tal van documenten en spreadsheets om gegevens te verwerken of rapporten te genereren (digitaal en non-digitaal). Niet alle gegevens worden bewaard in databases. Denk hierbij aan Word documenten, Excel spreadsheets, PDF bestanden maar ook afdrukken op papier.

Diverse systeem locaties
Databases en files kunnen zich binnen de huidige hybride wereld op diverse locaties bevinden. Denk hierbij aan mobile devices, mobile storage devices, een On Premise Datacenter, een Private Cloud en/of Public Cloud. Alle deze omgevingen bieden naast generieke beveiligingsmaatregelen vaak ook eigen aanvullende maatregelen om informatie in het algemeen en persoonsgegevens in het bijzonder te beveiligingen.

Back-up & Archieven
Persoonsgegevens zijn ook terug te vinden binnen de gemaakte back-ups en archieven. Veel van deze persoonsgegevens dienen op wettelijke basis voor langere periode (vele jaren) bewaard te blijven. Andere persoonsgegeven worden bewaard zolang de doeleinden nog geldig zijn en er nog toestemming is van de betrokkenen. Als dit laatste niet zo is dan dient er naast verwijdering van test/acceptatie en productiedata een markering te bestaan zodat na een restore deze persoonsgegevens wederom verwijderd kunnen worden. Uiteindelijk zullen via normale back-up retentie de verwijderde persoonsgegevens ook uit alle back-ups verdwenen zijn.

Aan de hand van inventarisatie is het mogelijk om na te gaan welke persoonsgegevens zich bevinden binnen uw organisatie. Handmatig inventariseren is een optie maar veel werk en niet het meest nauwkeurige. Een andere aanpak is proberen de inventarisatie zoveel mogelijk te  automatiseren. Hiervoor zijn diverse tools op de markt.

Als voorbeeld een klein lijstje met tools die in staat zijn om persoonsgegevens op te sporen en te classificeren.

  1. Digital Guardian
  2. GroundLabs Enterprise Recon
  3. Titus Privacy Protection
  4. TrustArc
  5. OneTrust
  6. Imperva Data Classifier