Print:

Hoe Yarden security- en privacy-compliance samenbrengt

Tommy Spiering, Information Security & Privacy Officer

LinkedIn profiel

Adequate informatiebeveiliging is essentieel voor privacy compliance. Technische en juridische ontwikkelingen maken security- en privacy-opgaven ingewikkelder dan ooit. Tommy Spiering, Information Security & Privacy Officer bij Yarden, vertelt over de do’s & don’ts.

“Voor veel verplichtingen uit de Algemene verordening gegevensbescherming (AVG) geldt dat je behoorlijk wat technische kennis in huis moet hebben als je er goed mee aan de slag wilt. Denk alleen al aan het regelen van opt-ins voor nieuwsbrieven en tracking pixels op websites. Als privacy officer moet je in staat zijn om met de uitvoeringsverantwoordelijken over dit soort zaken te praten – en zo’n gesprek kan behoorlijk technisch worden.” Dat zegt Tommy Spiering, sinds 2017 Information Security & Privacy Officer bij Yarden Uitvaartorganisatie en eerder Information Security Officer bij de uitvaartorganisatie.

Vanuit zijn ervaring als security consultant en information security officer – en met opleidingen zoals CDPO, CISA, CISM en ethisch hacken in de achterzak – heeft Spiering bepaald geen gebrek aan technische expertise. Basiskennis over security is voor elke privacyprofessional belangrijk, denkt Spiering, die tijdens de driedaagse praktijkcursus Security voor Privacyprofessionals van IIR een case over security-, cloud- en IT-uitbestedingen presenteert. “Je hoeft echt geen diepgaande kennis van alle technische aspecten van dataprotectie te hebben. Maar je begrijpt de AVG beter als je weet waar het technisch over gaat. Ik merk dat ik het werk als privacy officer echt beter kan uitvoeren omdat ik ook information security officer en ethisch hacker ben.”

Eisen en impacts van de AVG

De AVG vereist onder andere dat organisaties passende technische en organisatorische maatregelen voor beveiliging van persoonsgegevens nemen. Spiering: “Dat is natuurlijk best vaag, want wat betekent passend precies? We voeren nu voor alle systemen, waaronder cloudoplossingen, risicoanalyses uit. Dat deden we al, maar door de AVG komt de nadruk hierbij, in aanvulling op de beveiliging van bedrijfsvertrouwelijke gegevens, steeds meer te liggen op de bescherming van persoonsgegevens.”

Yarden heeft met het oog op de AVG-implementatie bovendien de veiligheid van uitbestede diensten en systemen onder de loep genomen, vertelt Spiering. “Het gehele onboarding proces voor leveranciers is aangescherpt. We starten met een business impact analyse, waarmee we bepalen of het gaat om een kritische uitbesteding of niet. Afhankelijk van de uitkomsten daarvan stellen we vast welke risico-analyse en PIA er worden uitgevoerd.” Voor een systeem met een hoge impact op de bedrijfsvoering, zoals een CRM, worden diepgaande analyses en assessments gemaakt, waarbij onder andere integriteit, beschikbaarheid, vertrouwelijkheid en privacy de revue passeren. “De set van passende maatregelen komt uiteindelijk tot stand door de uitkomsten te vergelijken met de maatregelen die al worden genomen en de restrisico’s die daarmee samenhangen.”

Drie do’s & don’ts

De AVG heeft het thema dataprotectie extra hoog op de agenda gezet, merkt Spiering. De impact op outsourcing heeft inmiddels handen en voeten gekregen in de actualisatie van het onboarding proces. “Vroegtijdige afstemming met alle betrokkenen is hierbij essentieel”, zegt Spiering over de lessons learnt. “Als je als privacy officer in een vroeg stadium met de juiste stakeholders aan tafel zit, kan je goed duidelijk krijgen welke maatregelen op het gebied van security en privacy nodig zijn en wat je van een leverancier vraagt. De risico’s en oplossingen moeten glashelder zijn. Dat geldt ook voor de verantwoordelijkheden: er mag geen enkele onduidelijkheid zijn over wie welke actiepunten oppakt.”

Ook het interne bewustzijn van dataprotectie en de wetgeving daarover is volgens Spiering een belangrijk aandachtspunt. “Het is belangrijk om kennis te delen met collega’s die een rol spelen in de uitvoering van maatregelen. Natuurlijk zijn er allerlei informatiebronnen over de AVG, maar de privacy officer kan als geen ander tailor made adviezen geven.” Spiering geeft bij Yarden workshops en presentaties voor uiteenlopende afdelingen en teams. Naast een workshop met de basisinformatie over de AVG, die bijdraagt aan de interne awareness, ontwikkelde hij ook verdiepende presentaties die zijn toegespitst op specifieke afdelingen. Op die manier hoort bijvoorbeeld P&O alles over dataprotectie in sollicitatieprocedures, en krijgt Marketing & Sales juist de regels rond direct marketing te weten.

Op het snijvlak van privacy en security

Het kan best ingewikkeld zijn om te opereren op het snijvlak van security en privacy, geeft Spiering toe. “Soms lijken belangen haaks op elkaar te staan. Volgens de AVG moet de privacy officer bijvoorbeeld tot elk systeem met persoonsgegevens toegang hebben. Maar als security officer wil ik dat niet per se – om risico’s te voorkomen moet ik eigenlijk alleen ergens bij kunnen als dat op een bepaald moment nodig is. Dat is even een uitdaging maar daar is uiteindelijk altijd een oplossing voor.”

De combinatie van de functies van security officer en privacy officer in één persoon geeft ontegenzeggelijk diepgang aan de werkzaamheden op het vlak van dataprotectie, zegt Spiering. “Je kunt bijvoorbeeld wel een beveiligingsrisico willen nemen, maar als privacy officer kan ik dan direct aangeven wanneer dat tot non-compliance leidt. Als privacy officer heb ik er een stok bijgekregen om security topprioriteit te geven.”

Alle kennis over security opdoen die noodzakelijk is voor AVG-compliance? Volg dan de driedaagse praktijkcursus Security voor Privacyprofessionals van IIR.

Security voor Privacy Professionals | IIR

 

Verder lezen?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten