Print:

Dataprotectie in 2020: naar een volgende fase in de implementatie

Lynsey Dubbeld , Contentstrateeg

LinkedIn profiel

Wordt 2020 het jaar waarin organisaties de naleving van de Algemene verordening gegevensbescherming (AVG) daadwerkelijk naar een hoger niveau tillen? De aandacht voor privacy governance is al groeiende, signaleert privacy- en IT-jurist Marie-José Bonthuis.

Tijdens de Dag van de Privacy Officer 2019 sleepte privacy- en IT-jurist Marie-José Bonthuis een award in de wacht voor haar project Privacy Escaperoom. Met deze serious game leren medewerkers (digitaal) veiliger te werken, zodat organisaties uiteindelijk de risico’s op het vlak van dataprotectie en security verkleinen.

De conferentie was een van haar hoogtepunten van 2019, vertelt Bonthuis nu. “Ik zie de award als aanmoediging om door te gaan met wat ik probeer te doen: het onderwerp privacy leuk, luchtig en behapbaar maken.” In de Privacy Escaperoom kruipen de deelnemers in de huid van een hacker en leren ze op een speelse manier over dataprotectie en informatiebeveiliging.

Positieve verhalen
“De afgelopen jaren is er veel kramp ontstaan over de omgang met persoonsgegevens, terwijl de Algemene verordening gegevensbescherming (AVG) in feite weinig heeft veranderd aan het normenkader,” signaleert Bonthuis, directeur van de adviesbureaus Privacy1 en IT’s Privacy, en externe Functionaris voor de Gegevensbescherming (FG) bij verschillende zorginstellingen. “Er wordt vaak gedacht en gezegd dat allerlei gegevensuitwisselingen niet meer mogen vanwege de AVG. De wet heeft misschien een einde gemaakt aan de vrijblijvendheid van dataprotectie, maar dat wil natuurlijk niet zeggen dat er nu niets meer kan.”

Bonthuis ziet het ontwikkelen van positieve verhalen als een van de belangrijkste uitdagingen waar privacy-experts nu voor staan. “Privacy staat dankzij de AVG bij veel organisaties hoog op de agenda. Maar niet altijd op een positieve manier. Hier ligt een grote rol voor FG’s en privacy officers: zij kunnen bijvoorbeeld privacy by design stimuleren. Dat maakt mensen bewuster van het belang van gegevensbescherming en zorgt ervoor dat er over nieuwe ontwikkelingen geen juridisch gekonkel ontstaat. Het uitgangspunt moet in mijn visie steeds zijn: een goed idee moet mogelijk zijn, als je het maar goed regelt. Zo’n houding is ook veel effectiever dan alleen maar zeggen wat er van de wet níet mag.”

Van regels naar risico’s
Een positieve ontwikkeling die in 2019 al is ingezet is volgens Bonthuis dat er steeds meer aandacht ontstaat voor privacy governance en een risicogerichte aanpak van dataprotectie. “In 2018 was er veel aandacht voor de administratieve kant van de AVG, zoals het inrichten van registers van verwerkingsactiviteiten. Nu zien we een groeiende vraag naar bijvoorbeeld data protection impact assessments (DPIA’s). Dat is een signaal dat organisaties groeien in privacyvolwassenheid en de implementatie van de AVG naar een hoger niveau brengen. We zijn de fase van het afvinken van checklists voorbij en gaan steeds proactiever nadenken over de inrichting van een infrastructuur die is afgestemd op dataprotectie.”

Het succes van een risicogestuurde benadering van AVG-compliance staat of valt met de professionaliteit van privacy officers en FG’s, benadrukt Bonthuis. “Hoe kan je als privacy-expert een breekijzer zijn om privacy te borgen binnen de organisatie? De skills en kwaliteiten van de privacy professional zijn daarvoor essentieel. Je moet er nu eenmaal voor zorgen dat je voldoende budget, middelen en speelruimte krijgt om privacy op managementniveau op de agenda te houden. Dan krijg je te maken met vragen zoals: wat is de businesscase voor dataprotectie, hoe kan het privacyteam effectief samenwerken met de IT-afdeling, en in hoeverre faciliteert de organisatie een proactieve benadering van AVG-compliance?”

Ketens als uitdaging
De uitwisseling van data binnen samenwerkingsverbanden ziet Bonthuis als een van de hot topics voor 2020. “Wie is binnen ketensamenwerkingen verantwoordelijk voor de verschillende aspecten van dataprotectie? Dat vraagstuk wordt met de opmars van big data en Artificial Intelligence (AI) steeds urgenter. Privacyprofessionals moeten alert zijn op deze ontwikkelingen en scherp kijken naar de mogelijkheden om privacy by design toe te passen. Er is zó veel mogelijk als je het goed ontwerpt. Terwijl de regulering van nieuwe technologie vanuit de verkeerde aannames juist meer drama oplevert dan je helpt.”

Bonthuis noemt de discussie over toestemming als grondslag voor gegevensbescherming als voorbeeld van een heet hangijzer in de omgang met nieuwe technologie. “Er zijn vaak wel degelijk mogelijkheden om gegevensverwerkingen te baseren op andere grondslagen uit de AVG dan het toestemmingsbeginsel. Laten we daar vooral goed op letten en over meedenken.”

Ontzorgen
Wat kunnen privacy professionals zoal van het jaar 2020 verwachten? Bonthuis ziet de nauwere samenwerking tussen dataprotectie en security als window of opportunity. “De risico’s van informatiebeveiliging worden alsmaar groter, zoals de actuele discussies over onder andere phishing laten zien. Privacyprofessionals moeten daarom goed op de hoogte zijn van de ontwikkelingen in cybersecurity. Wat doen hackers precies en welke middelen zetten ze in? Waar liggen de grootste risico’s voor de organisatie? Hoe kan je risico’s beperken? In samenwerking met IT-professionals kan je echt het verschil maken.” Zo kunnen ethische hackers worden ingezet om awareness op de werkvloer te vergroten en te leren van incidenten, maar ook om mee te denken over privacy by design en het verminderen van risico’s.

“Praktische middelen die organisaties ontzorgen, daar word ik blij van”, zegt Bonthuis over haar visie op het nieuwe jaar. Als jurylid van de Nederlandse Privacy Awards ziet ze daarvan volop voorbeelden. “Ik hoor regelmatig professionals verzuchten dat ze wel aan security willen doen, maar dat ze het zo’n gedoe vinden. Er is gelukkig steeds meer slimme technologie op de markt, zoals technieken waarmee je veilig gebruik kunt maken van openbare wifinetwerken. Daarnaast zijn er steeds meer makkelijke manieren om veilig te mailen. Met dit soort tools wordt het risicobewustzijn groter en de naleving makkelijker – en daardoor gaat uiteindelijk ook de kwaliteit van de dataprotectie omhoog.”

Ook klaar zijn voor de uitdagingen van 2020? Volg een van de opleidingen en trainingen van IIR. Via onze online kennisbank en digitale nieuwsbrief blijft u op de hoogte van alle actuele ontwikkelingen.