Print:

Draagvlak voor dataprotectie: dit valt er te leren uit de informatiebeveiliging

Redactie IIR , Trainingen & Conferenties

LinkedIn profiel

Sinds de invoering van de AVG staan privacy awareness en draagvlak voor dataprotectie bij steeds meer organisaties hoog op de agenda. Informatiebeveiligingsexpert Mark Tissink deelt zijn visie en tips.

Mark Tissink | IIRMet de komst van de AVG is het maatschappelijke bewustzijn van dataprotectie en privacyrechten flink gestegen. De trend belooft zich door te zetten nu de ePrivacy Verordening in aantocht is. Privacy awareness is dan ook een belangrijk thema binnen organisaties. In het veelgebruikte tienstappenplan van de Autoriteit Persoonsgegevens (AP) voor de implementatie van de AVG staat bewustwording niet voor niets op nummer één. Awareness van de nieuwe regels – en de impact ervan op de werkprocessen, producten en diensten van de organisatie – zijn essentieel voor een succesvolle naleving, aldus de AP.

FG’s en CISO’s als partners

De rollen en verantwoordelijkheden van Functionarissen voor de Gegevensbescherming (FG’s) bij het creëren van awareness en draagvlak hebben veel raakvlakken met de taken van Chief Information Security Officers (CISO’s), zegt Mark Tissink, trainer, coach en security-expert. Als hoofddocent van de praktijkcursus Security voor privacyprofessionals en de praktijkcursus De CISO als strategisch business partner ziet hij veel overeenkomsten tussen beide functies. Zowel de FG als de CISO zijn primair adviseur van het management en de werkvloer, aldus Tissink. “De CISO is dé adviseur van het management als het gaat om informatiebeveiliging en dataprotectie. Het creëren van intern draagvlak voor informatiebeveiliging kan daarom onderdeel zijn van het takenpakket van de CISO, die bijvoorbeeld kan adviseren over e-learnings en awareness campagnes. Maar de eindverantwoordelijkheid en de uitvoering van de maatregelen liggen bij het management en collega’s.” Ook FG’s zijn niet verantwoordelijk voor de AVG-compliance – en mogen als onafhankelijke toezichthouders niet actief betrokken zijn in het primaire proces van hun organisatie.

Er zijn volgens Tissink ook andere parallellen tussen data protection officers en CISO’s. “Net als informatiebeveiliging is ook privacy nooit een doel op zich. Informatiebeveiliging is altijd een middel, informatieveiligheid is het einddoel waarover het gesprek eigenlijk moet gaan. Bij privacy gaat het gesprek al snel over de naleving van de wet. Maar de wet is in feite niet meer dan een instrument om de regels over een zorgvuldige omgang met persoonsgegevens te sanctioneren.”

Draagvlak en positionering

CISO’s én privacyprofessionals mogen van Tissink dan ook best kritische en fundamentele vragen stellen. “Waarom willen we onze bedrijfsinformatie vertrouwelijk behandelen en de persoonsgegevens van onze stakeholders beveiligen? Gaan we vanuit een gedachte van maatschappelijk verantwoord ondernemen zorgvuldig met data om, of is de dreiging van sancties onze drijfveer? Hoe goed willen we het doen en welke risico’s accepteren we?” De antwoorden die de directie moet geven op dergelijke vragen zijn essentieel om passende maatregelen voor informatiebeveiliging en dataprotectie – en de awareness daarover – te bepalen.

Volgens Tissink is het voor awareness en draagvlak voor informatiebeveiliging en dataprotectie ook essentieel dat het management de expertise daarover op de juiste plek in de organisatie heeft geborgd. “Als een CISO deel uit maakt van de IT-afdeling, of een bedrijfsjurist privacy erbij doet, dan kan je je afvragen of het management compliance voldoende serieus neemt. Dat maakt het voor CISO’s, FG’s en privacy officers vervolgens heel lastig om draagvlak te creëren voor hun positie en de noodzaak van regelnaleving. En om bijvoorbeeld kritische opmerkingen te plaatsen bij het handelen van het management – dat zijn dan immers de directe leidinggevenden.”

Samen optrekken voor een sterker geluid

Tissink adviseert CISO’s, FG’s en privacy officers om zo veel mogelijk samen op te trekken. Bijvoorbeeld wat betreft aspecten van de AVG (en andere privacywetten) die direct raken aan informatiebeveiliging. “Zeker als het gaat om bewustwording van dataprotectie doen CISO’s en privacyprofessionals er goed aan om elkaar op te zoeken. Dat klinkt heel logisch en is zeker niet nieuw. Maar in de praktijk blijkt het soms best lastig om een werkbaar samenwerkingsmodel uit te kristalliseren, zodat de verschillende invalshoeken elkaar versterken.”

CISO’s kunnen volgens Tissink vanuit hun kennis over IT een belangrijke bijdrage leveren aan juridische vraagstukken rond de AVG. “Om uitdagingen op het terrein van dataprotectie op te lossen, is informatiebeveiliging essentieel. Daarnaast kunnen CISO’s en privacyprofessionals die samen de directie adviseren een sterker geluid over het belang van dataprotectie laten horen.”

Actief, maar niet verantwoordelijk

Tissink maakt een onderscheid tussen awareness en draagvlak. “De werkvloer hoeft het niet per se eens te zijn met regels voor dataprotectie. Als iedereen de regels kent en zich eraan houdt dan wordt naleving het nieuwe normaal. De meeste mensen willen het trouwens best goed doen – en vaak weten ze ook wel wat ze moeten doen. Maar hele praktische hindernissen kunnen hen ervan weerhouden om juist te handelen.” Een van de opgaven van privacyprofessionals is om deze hindernissen te ontdekken – en om te zoeken naar manieren om ze weg te nemen.

CISO’s, FG’s en privacy officers moeten zich in interne discussies over regels, richtlijnen en awareness actief opstellen, maar zich niet eindverantwoordelijk voelen voor de compliance, benadrukt Tissink . “Het is de keuze van de directie om wel of niet mee te gaan in onderbouwde adviezen – en voldoende budget toe te kennen voor compliance. Wat dat betreft draait het er uiteindelijk om dat het management de experts op het gebied van informatiebeveiliging, dataprotectie en privacy als gesprekspartners erkent en – als deze thema’s voldoende belangrijk worden gevonden – ook serieus neemt.”

Als privacyprofessional aan de slag met draagvlak voor dataprotectie en daarbij slim samenwerken met CISO’s en andere IT-experts? Volg dan de driedaagse praktijkcursus Security voor privacyprofessionals.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.