Print:

Hoe ziet het samenspel tussen security en dataprotectie eruit?

Als het gaat om maatregelen voor de beveiliging van persoonsgegevens zijn security en dataprotectie onlosmakelijk met elkaar verbonden. Maar wat betekent het samenspel van informatiebeveiliging en gegevensbescherming precies voor het werk van privacyprofessionals?

Bewustwording creëren op de werkvloer is een van de grootste opgaven voor Data Protection Officers (DPO’s). Dat valt af te leiden uit een peiling tijdens de Dag van de Privacy Officer 2019. Bijna veertig procent van de 58 DPO’s die op 6 juni antwoord gaven op de vraag naar de grootste uitdaging in hun werk noemde awareness. In een eerdere enquête van IIR noemden DPO’s awareness en draagvlak ook al als uitdagingen. In de nieuwe peiling wordt ook het aantoonbaar maken van de naleving van wet- en regelgeving veel genoemd. Meer dan een kwart van de respondenten vindt dit een uitdaging.

Met de komst van de Algemene verordening gegevensbescherming (AVG) staan awareness en verantwoording hoger dan ooit op de agenda van privacyprofessionals. Organisaties beseffen in toenemende mate dat bewustwording van de regels en verplichtingen een noodzakelijke voorwaarde is voor de naleving. Daarnaast introduceert de AVG een verantwoordingsplicht: organisaties hebben de verantwoordelijkheid om aan te tonen dat ze aan de privacyregels voldoen.

Security en AVG-compliance

Awareness en verantwoording zijn ook topprioriteiten als het gaat om de beveiliging van persoonsgegevens waartoe de AVG verplicht. Op grond van artikel 32 van de AVG nemen de verwerkingsverantwoordelijke en verwerker passende technische en organisatorische beveiligingsmaatregelen. Adequate security en AVG-compliance zijn wat dat betreft onlosmakelijk met elkaar verbonden.

Jan Willem Schoemaker | IIRIn de wereld van security is het common knowledge dat awareness cruciaal is voor succesvolle informatiebeveiliging. Als het gaat om bewustwording van compliant werkwijzen staan security professionals en DPO’s dan ook voor een vergelijkbare uitdaging. “Zorg voor awareness bij alle betrokkenen”, adviseerde Jan Willem Schoemaker, Chief Information Security Officer (CISO) en Business Continuity Manager bij Erasmus MC, DPO’s tijdens de Dag van de Privacy Officer 2019. “Vrijwel al onze medewerkers hebben met vertrouwelijke informatie en persoonsgegevens te maken. Dan is het essentieel dat iedereen weet wat de regels zijn en beseffen wat een veilige werkwijze inhoudt.” Binnen het Erasmus MC behoren naast de medewerkers op de werkvloer ook de ondernemingsraad, Raad van Toezicht, cliëntenraad en studentenraad tot de interne stakeholders.

“Maak informatiebeveiliging aantoonbaar”, was een andere tip van Schoemaker, die tijdens de praktijkcursus Security voor privacy professionals vertelt over de manieren waarop het Erasmus MC omgaat met security en cloud- en IT-uitbestedingen. De organisatorische en technische maatregelen voor de beveiliging van persoonsgegevens zijn onderdeel van de verantwoordingsplicht uit de AVG. De Autoriteit Persoonsgegevens (AP) noemt beveiligingsmaatregelen nadrukkelijk als voorbeeld van AVG-regels waarover organisaties verantwoording moeten afleggen. De toezichthouder doet bij 53 organisaties al onderzoek naar het privacybeleid, waaronder het beleid voor beveiliging van persoonsgegevens. “CISO’s zijn verantwoordelijk voor het beheer van het Information Security Management Systeem en volgen een Plan Do Check Act-cyclus die zorgt voor continue inzichten in de omgang met risico’s rond informatiebeveiliging”, voegt Schoemaker toe.

DPO, CISO en IT’er

DPO’s hebben dus een belangrijke rol bij informatiebeveiliging. Maar ze staan er niet alleen voor, benadrukt Schoemaker. “Betrek alle stakeholders bij informatiebeveiliging, van IT tot het management. Doe het niet alleen”, drukte hij Functionarissen voor de Gegevensbescherming (FG’s) op het hart. Schoemaker noemde de CISO en IT-specialist als samenwerkingspartners. “Bij zaken zoals Data Protection Impact Assessments (DPIA’s), verwerkersovereenkomsten en de afhandeling van datalekken ligt een samenwerking tussen IT, het securityteam en het privacy office voor de hand.”

Om zicht te krijgen op passende beveiligingsmaatregelen voor persoonsgegevens – en om het privacybeleid af te stemmen met de security governance – is de CISO een natuurlijke sparring partner en bondgenoot van de DPO. De CISO staat aan de lat als het gaat om het management van informatiebeveiliging, de contacten met overheidsinstanties die zich bezighouden met cybersecurity en digitale weerbaarheid, en de afhandeling van ICT-beveiligingsincidenten.

Ook de afdeling IT is een logische gesprekspartner van het privacyteam. IT heeft als geen ander zicht op het beheer van de informatievoorziening van de organisatie, de contacten met IT-leveranciers en de afhandeling van IT-incidenten.

Voldoende kennis

Een uitdaging voor DPO’s is om voldoende kennis te hebben over securityvraagstukken om het beleid te toetsen en beoordelen, en op het juiste niveau te sparren met IT- en security-specialisten. Een kernvraag hierbij is: wie bepaalt of de beveiligingsmaatregelen voor persoonsgegevens voldoende zijn? Schoemaker licht toe: “Wie bepaalt de omvang van het risico, wie is er eigenaar van, wat vindt het management daarvan en hoe vinden we een goed evenwicht tussen informatiebeveiliging en de doelstellingen en werkprocessen van de organisatie?”

Het antwoord op deze vraag is niet alleen van belang met het oog op de verantwoordingsplicht van de AVG. Het is ook een cruciaal issue voor de business. Schoemaker: “De inzet van ICT binnen organisaties neemt toe en wordt complexer. Daarmee groeien ook de risico’s, en kan de impact van incidenten ingrijpender worden. De implementatie van een risico-gebaseerde aanpak is essentieel. Naast wetgeving zoals de AVG helpen ook normenkaders om hiermee gestructureerd aan de slag te gaan.”

Weerbaarheid als uitdaging en instrument

De weerbaarheid van digitale systemen is het belangrijkste instrument om securityrisico’s te verminderen, constateerde de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) in de recente editie van het Cybersecuritybeeld Nederland (CSBN). “Organisaties worden nog steeds succesvol aangevallen met eenvoudige methoden. Incidenten hadden voorkomen kunnen worden en schade had beperkter kunnen zijn door het nemen van basismaatregelen”, aldus het CSBNL 2019.

Met de conclusies uit het CSBN onderstreept de NCTV het belang van risico-awareness. Afgaand op de recente peiling van IIR is dat een thema dat DPO’s al goed op het netvlies hebben staan. Het advies van Schoemaker: “Informatiebeveiliging is een continu proces, niet een eenmalig project. De implementatie van een risico-gebaseerde aanpak is ook een zaak van lange adem. Zorg dan ook vooral dat het leuk blijft om te doen!”

Alle kennis opdoen over security die noodzakelijk is voor AVG-compliance? Met de 3-daagse praktijkcursus Security voor privacy professionals brengt u de securitykennis op het juiste niveau om een serieuze gesprekspartner op securitygebied te zijn. Bekijk ook het gehele aanbod dataprotectie & privacy trainingen.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.