Security.nl meldde onlangs dat kledingketen H&M van de Hamburgse databeschermingstoezichthouder een boete heeft gekregen voor het verzamelen van gegevens van werknemers. Voor het schenden van de privacy van het personeel moet H&M een boete van 35 miljoen euro betalen. Sinds 2014 werd er door H&M zeer gedetailleerde informatie bijgehouden over het privéleven van werknemers. Deze gegevens werden centraal verzameld op een netwerkschrijf, maar sinds de inwerkingtreding van de AVG/GDPR was dit niet langer toegestaan. Eind 2019 kwam de dataverzameling door een configuratiefout aan het licht. Door deze fout was de verzamelde personeelsdata tijdelijk beschikbaar voor het gehele bedrijf. H&M erkent nalatig te zijn geweest en heeft inmiddels een nieuw plan opgesteld om databescherming binnen het bedrijf beter te regelen.
De door H&M gemaakte overtreding met betrekking tot databescherming en de boete die zij als gevolg hiervan hebben gekregen toont duidelijk het belang aan van een goed autorisatiebeheer binnen organisaties. Het is van belang dat bedrijven meegaan met de steeds strenger wordende wetgeving omtrent informatiebeveiliging en privacy. Wat in het verleden nog was toegestaan is dat vandaag de dag of in de toekomst misschien niet meer. Bedrijven dienen inzicht in en controle over de toegangsrechten van werknemers te hebben. Door onjuist beheer over informatie, systemen en de verleende toegangsrechten binnen bedrijven kunnen gegevens in verkeerde handen vallen. Mensen kunnen, bedoeld of onbedoeld, toegang krijgen tot data waar zij geen toegang toe behoren te hebben, met alle gevolgen van dien. Identity Governance & Administration (IGA) biedt hier de oplossing.
Identity Governance & Administration zorgt er met het geautomatiseerd bewaken en beheren van toegangsrechten voor dat bedrijven op elk moment inzicht hebben in wie toegang heeft tot welke gegevens, applicaties en systemen. Het aanmaken en beheren van werknemersaccounts en het toewijzen van toegangsrechten wordt geautomatiseerd en gecontroleerd. Hiermee krijgen de juiste mensen toegang tot de juiste informatie en wordt er inzicht verkregen in de binnen de organisatie verleende autorisaties. Wijzigingen in het personeelsbestand, in autorisaties of bijvoorbeeld in wetgeving kunnen gemakkelijk en gecontroleerd worden doorgevoerd. Hiermee is Identity Governance & Administration dus van zeer grote waarde voor de beveiliging van, al dan niet persoonlijke, data en wordt voorkomen dat informatie – per ongeluk of opzettelijk – in de verkeerde handen terechtkomt. Met Identity Governance & Administration zetten bedrijven dus een grote stap richting conformiteit met wet- en regelgeving omtrent privacy en databescherming, zonder daarbij in te leveren op werkbaarheid en functionaliteit.
Rick de Laat
Marketing medewerker