Print:

Dit is wat privacy officers uit 2018 moeten onthouden over security

Redactie IIR , Trainingen & Conferenties

LinkedIn profiel

In het jaar waarin de Algemene verordening gegevensbescherming (AVG) in werking trad, hebben privacyprofessionals de handen vol aan implementatie- en compliancetrajecten. Informatiebeveiliging verdient hierbij bijzondere aandacht.  Welke ontwikkelingen uit 2018 verdienen ook in het nieuwe jaar een plek op de agenda?

Security voor privacy professionals | IIR

 

De privacyprofessional van nu is een duizendpoot, schreef juridisch adviseur Peter van Schelven eerder dit jaar. “Meer dan ooit moet een eigentijds privacy-professional van vele markten thuis zijn. Kennis van wet- en regelgeving is weliswaar een must, maar zeker niet voldoende. Hij of zij doorgrondt ook de inhoud en impact van ICT: big data, internet of things, profiling, cloud en wat dies meer zij. Ook is de privacy-professional meer dan oppervlakkig bekend met nieuwe gevaren die zich aandienen, zoals aanvallen op de ICT.”

Een aantal basisprincipes uit de Algemene verordening gegevensbescherming (AVG) maken ook duidelijk hoe belangrijk securitykennis is in het vakgebied van dataprotectie. Zo staat in het zogenoemde register van verwerkingsactiviteiten aangegeven welke persoonsgegevens een organisatie verwerkt, voor welk doel en met welke beveiliging. Deze verantwoordingsplicht laat zien dat privacy officers zeker de basisbeginselen van het securityvak moeten kenen. Hoe kan je anders beoordelen of passende maatregelen zijn genomen, zoals de AVG vereist? Of nagaan of uitbestede diensten zoals IT-beheer en cloudopslag voldoen aan de wettelijke vereisten?

Drie security-opgaven uit 2018 om ook in het nieuwe jaar in de gaten te houden.

1. Stel de mens centraal

Menselijk handelen is het grootste risico voor informatiebeveiliging. Dat constateert het Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten dat in 2018 verscheen. Het dreigingsbeeld is bedoeld om gemeenten weerbaarder te maken op het gebied van informatiebeveiliging. De publicatie is een aanvulling op het jaarlijkse Cybersecuritybeeld Nederland van het Nationaal Cyber Security Centrum (NCSC) en geeft inzicht in de belangrijkste risico’s die de Informatiebeveiligingsdienst (IBD) van de Vereniging Nederlandse Gemeenten (VNG) signaleert.

Bovenaan de top vijf van grootste risico’s voor de gemeentelijke informatiebeveiliging staan menselijke fouten. De meeste incidenten ontstaan volgens de IBD onbedoeld als gevolg van onbewust menselijk handelen, zoals een verkeerd verzonden e-mail, een verloren usb-stick of een gestolen smartphone. Daarnaast maakt de ketensamenwerking op het gebied van veiligheid, zorg, jeugd, werk en inkomen gemeenten kwetsbaar: een incident bij een toeleverancier of een ketenpartner kan daardoor verstrekkende gevolgen hebben. De IBD stelt onder andere dat er nog een grote slag te maken is bij monitoring van informatiestromen om incidenten te voorkomen en sneller te detecteren. Een advies om ook in 2019 mee aan de slag te gaan!

2. Kijk naar de kansen

“Innovatie, gebruiksgemak en dataprotectie kunnen elkaar bijten, maar als dat het geval is dan is er iets mis met het product en moet je het aanpassen. Bijvoorbeeld door te zorgen dat er minder persoonsgegevens worden verzameld, of meer data worden gepseudonimiseerd.” Dat zegt Nienke Koorn, privacy officer bij WeTransfer. Privacy by design en privacy by default zijn volgens Koorn dan ook belangrijke uitgangspunten bij de implementatie en naleving van de AVG. “Het draait in essentie om de vraag: hoe kunnen we optimaal invulling geven aan wat we als bedrijf belangrijk vinden op het vlak van dataprotectie?”

Volgens Koorn zorgt zo’n benadering ervoor dat dataprotectie geen rem zet op de bedrijfsvoering. “Als je persoonsgegevens goed gebruikt en betrokkenen weten wat je ermee doet dan kunnen innovatie en privacy heel goed samen gaan. Een bedrijf als Mozilla, dat al bijna vijftien jaar succesvol opereert en zich altijd sterk maakt voor de privacy van zijn gebruikers, laat dat wel zien. Van dat soort pioniers kunnen we heel veel leren.”

3. Let op de datalek

Hoewel de meldplicht datalekken al sinds 2016 geldt, lijken de effecten ervan pas in 2018 in volle omvang zichtbaar. In november kreeg Uber een forse boete van de AP én de Britse toezichthouder. Eerder in het jaar werden onder andere Randstad, Yahoo, UWV en Marriott Hotels al in verlegenheid gebracht over een datalek.

De AP publiceert sinds 2018 elk half jaar een overzicht van gemelde datalekken. Uit de meest recente cijfers blijkt dat de toezichthouder in de eerste zes maanden van het jaar bijna tweehonderd handhavingsonderzoeken startte. In de meeste gevallen ontvingen de organisaties een waarschuwing, maar een aantal onderzoeken loopt nog en zou uiteindelijk dus tot een boete of andere sanctie kunnen leiden. Een sanctie van de toezichthouder kan niet alleen financiële schade opleveren. De publiciteit hierover kan ook tot reputatieschade leiden. Dat is iets dat privacyprofessionals ook in 2019 natuurlijk niet willen meemaken.

Als privacyprofessional voorbereid zijn op de security-uitdagingen van morgen? Volg de driedaagse praktijkcursus Security voor privacy professionals.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten