Lees jou gunsteling-tydskrifte en -koerante nou alles op een plek teen slegs R99 p.m. Word 'n intekenaar
Menings
Die wet raak jóú ook

Die Wet op die Beskerming van Persoonlike Inligting is nie net van toepassing op groot maatskappye nie. Kleiner ondernemings gaan ook daaraan onderwerp word, skryf Basie van Solms.

Pres. Cyril Ramaphosa het einde Junie aangekondig dat die grootste deel van die Wet op die Beskerming van Persoonlike Inligting (algemeen bekend as Popi), vanaf 1 Julie vanjaar in werking tree.

Alle rolspelers het 12 maande kans om voor te berei vir voldoening aan die wet, wat op 1 Julie 2021 amptelik aktief sal wees.

Daar is die laaste tyd baie geskryf oor die wát van die wet: Wat presies dit vereis en wat die funksionele verpligtinge daarvan is.

Baie minder is geskryf oor die hóé van die wet, met ander woorde hoe rolspelers te werk moet gaan om aan sekere aspekte daarvan te voldoen.

Sover dit die hóé betref, is veral die tegniese aspekte van die beskerming van inligting belangrik – dit is aspekte oor die veiligheidsmaatreëls van inligtingstegnologie (IT).

Wat van ’n eenmansaak?

Groter maatskappye begroot vir professionele hulp ter voorbereiding van die wetgewing, maar veral klein en baie klein ondernemings het gewoonlik nie die nodige geld daarvoor beskikbaar nie.

Statistieke wys dat sulke klein instellings nog redelik in die duister is oor die wet en basies nie weet waar en hoe om dit aan te pak nie.

Geen maatskappy, hoe klein ook al, is vrygestel van die wet se vereistes nie.

Die hoofdoel van die wet is uiteraard om kliënte se persoonlike inligting te beskerm. Al bedryf jy dus ’n eenmansaak waarin jy persoonlike inligting van kliënte moet versamel en dit iewers in jou stelsel stoor, raak die wet jou en moet jy daaraan voldoen – op presies dieselfde wyse as wat van ’n groot bank of fabriek vereis word.

Ja, selfs jý, dokter!

Kom ons neem as voorbeeld ’n mediese praktyk met een dokter en sekere verpleegpersoneel.

Die dokter moet uiteraard persoonlike inligting versamel en stoor, van pasiënte én werknemers, asook moontlik ander inligting van byvoorbeeld verskaffers.

Die Popi-wet spesifiseer presies wat kwalifiseer as persoonlike inligting, maar opsommend is dit enige­ inligting wat ’n mens direk raak.

Dit sluit uiteraard inligting in soos ’n identiteitsnommer, naam, adres, mediese verslae, finansiële state en loopbaanbesonderhede.

Die dokter moet uiteraard sy pasiënte se inligting iewers stoor en dis waarskynlik elektronies in ’n databasis of miskien nog in ’n kluis.

Dié dokter het nou basies 12 maande om te voldoen aan die wet, want ná 1 Julie 2021 kan hy aangekla word indien sy rekenaarstelsel gekraak en sy pasiënte se inligting gesteel word.

Die staat én sy pasiënte kan in so ’n geval regstappe teen die dokter doen.

Wat van ’n derde party?

Dit is natuurlik onmoontlik om in dié beperkte ruimte omvattende raad te gee oor wat die dokter moet doen om sy elektroniese inligting te beveilig.

Dát hy dit moet doen, is ’n feit. Klousule 19 van die Popi-wet sê die dokter is verantwoordelik vir die beveiliging van die integriteit en vertroulikheid van alle persoonlike inligting in sy besit of onder sy beheer.

Dit is sy verantwoordelikheid om te sorg dat veiligheidsmaatreëls wat rekenaars en IT betref, ingestel is om sodanige inligting te beveilig.

Verder kan hy ook nie sommer net sy eie veiligheidsmaatreëls kies nie, want die wet vereis dat die maatreëls in pas moet wees met algemeen aanvaarde inligtingveiligheidstandaarde en -praktyke.

As dié dokter dink hy kan sy hande in onskuld was omdat dié deel van sy praktyk uitgekontrakteer is aan ’n IT-maatskappy, moet hy weer dink.

Ingevolge die wet lê die verantwoordelikheid vir die toepassing van die wet steeds by die dokter en as die uitgekontrakteerde maatskappy sy pasiënte, werknemers of kliënte se data verloor, gaan hy steeds vervolg word. Luidens die definisie van die wet is die dokter die verantwoordelike persoon aan wie die persoonlike inligting toevertrou is.

Sou die dokter dus verkies om die IT-aspekte van sy praktyk uit te kontrakteer, moet hy ’n amptelike ooreenkoms aangaan met die IT-kontrakteur waarin onder meer vereis word dat die kontrakteur die nodige veiligheidsmaatreëls instel soos wat die wet vereis.

Spesifieke vereistes

Die algemeen aanvaarde inligtingveiligheidstandaarde wat ingevolge die wet gevolg moet word, is uiters omvattend en kan baie gedetailleerd wees.

In die geval van die dokter sal sodanige inligtingveiligheidstandaarde vereis dat hy onder meer moet verseker dat ten minste die volgende aanvaarde veiligheidstandaarde deur sy praktyk of sy IT-kontrakteur in werking gestel word:

  • Die praktyk het ’n basiese inligtingveiligheidsbeleid;
  • Persoonlike data is geënkripteer wanneer dit gestoor en versend word. Die wet noem nie spesifieke enkripsie as ’n vereiste nie, maar dit is ’n basiese norm by aanvaarde inligtingveiligheidstandaarde;
  • Streng reëls en voorskrifte moet in werking gestel word om te verseker dat net gemagtigde werknemers toegang kan verkry tot persoonlike inligting.

Dit beteken dat elke werknemer wat toegang het tot die praktyk se data, sy eie persoonlike aanteken­inligting tot die stelsel moet hê, wat toegang beperk net tot daardie inligting wat die betrokke werknemer nodig het;

  • Elke werknemer moet ten minste ’n basiese bewustheidsprogram voltooi om hulle bewus te maak van die aanvalstegnieke wat kubermisdadigers gebruik om toegang tot persoonlike data te probeer verkry. Dit is noodsaaklik om te verseker dat die werknemer sodanige aanvalle voortydig kan herken en nie in die strik trap nie. Deur verkeerd te reageer op so ’n aanval, sal die kubermisdadiger toegang tot die praktyk se inligting kon verkry;
  • Alle e-pos wat pasiënte se persoonlike data bevat, moet geënkripteer word; en
  • Voldoende maatreëls en prosedures moet ingestel wees om die praktyk se inligting gereeld te rugsteun sodat dit herwin kan word ná onder meer ’n gyselware-soort aanval.

Indien die dokter die praktyk se IT-stelsel uitkontrakteer aan ’n derde party, moet die ooreenkoms met die kontrakteer verseker dat die derde party se werknemers ook al die vereiste reëls nakom.

Geldsake

Teen dié tyd is die dokter al seker baie bekommerd dat dit geld gaan kos om aan die wet se voorwaardes te voldoen.

Dié bekommernis is geregverdig, want iewers in die proses van nakoming sal ’n mens professionele kundigheid moet betrek – kenners wat bystand kan verleen met die tegniese aspekte en die inhoud van die wet.

’n Wegspringplan vir ons dokter en sy praktyk kan moontlik die volgende stappe insluit:

Eerstens, aanvaar en maak vrede met die besef dat jy iets moet doen om aan die vereistes van die wet te voldoen. Die saak sal nie net weggaan nie;

Knoop vervolgens ’n gesprek aan met jou IT-raadgewer en sorg dat julle ’n amptelike ooreenkoms sluit;

Maak derdens seker dat jou praktyk of onderneming ’n basiese beleid het oor inligtingsveiligheid.

Die beleid kan insluit die gebruik van enkripsie waar nodig – vir die stoor en versending van data; die inwerkingstelling van ’n stelsel van logiese toegangsbeheer tot die rekenaarstelsels vir die praktyk se werknemers; ’n reeks kursusse vir al die praktyk se werknemers om hulle op te lei in inligting- en kuberveiligheid; en ’n behoorlike stelsel vir gereelde rugsteun en toetsing van die praktyk se inligting; en

As ’n vierde stap: Maak seker jy skep ’n kultuur van inligting- en databeskerming in die praktyk sodat alle werknemers weet wat hulle verantwoordelikheid is ten opsigte van die hele saak.

Die aanbied van die bewusmakingskursusse sal ’n vertrekpunt wees vir die kweek van so ’n kultuur.

Die tyd raak min!

Die horlosie het begin tik . . . daar is minder as 12 maande oor om aan die wet te voldoen.

Baie sterkte aan alle dokters, gastehuise, skole, apteke, huiseienaarsverenigings, kerke, motorhawens en baie meer!

Prof. Van Solms is die direkteur van die Universiteit van Johannesburg (UJ) se sentrum vir kubersekerheid.

Meer oor:  Persoonlike Inligting
MyStem: Het jy meer op die hart?

Stuur jou mening van 300 woorde of minder na MyStem@netwerk24.com en ons sal dit vir publikasie oorweeg. Onthou om jou naam en van, ‘n kop-en-skouers foto en jou dorp of stad in te sluit.

Ons kommentaarbeleid

Netwerk24 ondersteun ’n intelligente, oop gesprek en waardeer sinvolle bydraes deur ons lesers. Lewer hier kommentaar wat relevant is tot die onderwerp van die artikel. Jou mening is vir ons belangrik en kan verdere menings of ondersoeke stimuleer. Geldige kritiek en meningsverskille is aanvaarbaar, maar dit is nie 'n platform vir haatspraak of persoonlike aanvalle nie. Kommentaar wat irrelevant, onnodig aggressief of beledigend is, sal verwyder word. Lees ons volledige kommentaarbeleid hier.

Stemme

Hallo, jy moet ingeteken wees of registreer om artikels te lees.