Print:

De privacyprofessional van de toekomst: duizendpoot met kennis van security

Redactie IIR, Trainingen & Conferenties

LinkedIn profiel

Nieuwe wet- en regelgeving zoals de Algemene Verordening Gegevensbescherming en de ePrivacy Verordening betekenen dat gegevensbescherming hoog op de agenda staat bij allerlei professionals – van juristen tot marketeers. Tegelijkertijd staan privacyprofessionals voor de uitdaging om actuele kennis op te doen over security. Drie zaken om bij stil te staan.

Arvid Landwaart is Cyber Security & Privacy Officer bij PostNL. Op het visitekaartje van Hans van Breukelen prijkt de titel Information Security & Data Privacy Specialist bij de IKEA Group. De combinatie van security en privacy in één functie is geen toeval. Dataprotectie kan nu eenmaal niet zonder adequate securitymaatregelen. De verstrengeling van databeveiliging en gegevensbescherming betekent noodzakelijkerwijs ook dat (basis)kennis van organisatorische en technische beveiliging onontbeerlijk is voor privacyprofessionals die effectief willen opereren.

In de praktijkcursus Security voor privacyprofessionals van IIR komt een scala aan securityvraagstukken aan bod die bijzonder relevant zijn voor het dagelijkse werk van privacyfunctionarissen. Vraagstukken zoals wet- en regelgeving, standaards voor informatiebeveiliging, technische en organisatorische beveiliging, IT-uitbesteding en security awareness passeren allemaal de revue. Drie issues springen er in het bijzonder uit.

AVG als motor

De privacyprofessional van nu is een duizendpoot, zo schreef juridisch adviseur Peter van Schelven eerder dit jaar. “Meer dan ooit moet een eigentijds privacy-professional van vele markten thuis zijn. Kennis van wet- en regelgeving is weliswaar een must, maar zeker niet voldoende.”

Security voor Privacy Professionals | IIREen aantal basisprincipes uit de Algemene Verordening Gegevensbescherming (AVG) maken wel duidelijk hoe belangrijk securitykennis is. Bedrijven en overheden die persoonsgegevens verwerken moeten met de komst van de AVG bijvoorbeeld een verantwoordingsplicht. In de zogenoemde privacy-administratie staat aangegeven welke persoonsgegevens zij verwerken, met welk doel en met welke beveiligingsmaatregelen.

Dat betekent werk aan de winkel. Bijvoorbeeld om de nieuwe regels van de AVG te vertalen naar de concrete praktijksituatie. Maar ook om op securityvlak bij te leren. Hoe kan je anders beoordelen of passende maatregelen zijn genomen, zoals de AVG vereist? Of nagaan of uitbestede diensten zoals IT-beheer voldoen aan de wettelijke vereisten?

De wondere wereld van de cloud

Welke organisatie zit tegenwoordig niet op een of andere manier in de cloud? De stap naar de cloud past in de trend om taken op het gebied van geautomatiseerde informatievoorziening uit te besteden – en ondersteunt het nieuwe werken.

Maar haken en ogen zijn er ook. “Een organisatie die op een verantwoorde wijze de cloud in wil gaan, doet er goed aan tevoren stil te staan bij de vele juridische voetangels en klemmen”, waarschuwt Peter van Schelven. Zo spelen bij de opslag van gegevens in de cloud een hele set aan spelregels uit de AVG een rol. Bijvoorbeeld als het gaat om het opstellen van contracten met cloudproviders (die gelden als verwerker in de zin van de AVG) en om het regelen van aansprakelijkheid bij datalekken. Een goede reden om eens in de wondere wereld van de cloud te verdiepen.

Nieuwsgierigheid prikkelen

De AVG, de meldplicht datalekken, het EU-VS privacyschild, ISO-standaards voor informatiebeveiliging en cloudproviders. Het is slechts een greep uit de wetten en normen waarmee privacy professionals te maken hebben. En waarover alle medewerkers van een organisatie tot op zekere hoogte kennis nodig hebben. Maar welke basiskennis is een must? Hoeveel verdieping is – voor een aantal functies – noodzakelijk? Hoe creëer je awareness van risico’s en maatregelen – en hoe houd je die op peil? Welke rol spelen professionals binnen IT, security, juridische zaken en HR hierbij? En het MT? Het zijn vragen waarop geen eenduidig, algemeen antwoord is.

Het goede nieuws: er zijn volop best practices, tools, regelhulpen en checklists. Bijvoorbeeld om aan de slag te gaan met security governance, een datasecurityplan of een awarenesscampagne. De gemeente Utrecht weet inmiddels dat het vergroten van awareness een kwestie van lange adem is, maar dat verplichte trainingen niet werken. “Overtuig mensen van de noodzaak van privacy- en security-awarenesstrainingen door concrete voorbeelden te geven van wat er mis kan gaan als er te weinig aandacht is voor privacy en security. Deel goede en slechte voorbeelden en mensen worden nieuwsgierig”, aldus FG Hans van Impelen. De privacyprofessional met kennis van zaken van security is natuurlijk als geen ander in staat om die nieuwsgierigheid te prikkelen.

Breed spectrum aan vraagstukken en docenten

De cursus Security voor privacyprofessionals is speciaal ontwikkeld voor professionals die betrokken zijn bij informatiebeveiliging binnen een organisatie en te maken hebben met de veiligheid van informatie en persoonsgegevens. Dat varieert van (aankomende) functionarissen gegevensbescherming tot compliance officers. Omdat de cursus een breed spectrum aan actuele vraagstukken belicht, kunnen ook bijvoorbeeld veiligheidscoördinatoren, kwaliteitsmanagers en HR-managers er hun voordeel mee doen.

De drie docenten van de cursus vertellen onder leiding van hoofddocent Mark Tissink over bijvoorbeeld het omgaan met IT-uitbestedingen, het vergroten van het veiligheidsbewustzijn binnen een organisatie en het slim toepassen van firewalls, virusscanners en encryptie. Arvid Landwaart en Hans van Breukelen geven tijdens hun praktijkcases een kijkje in de keuken van respectievelijk security management bij PostNL en security awareness bij Ikea.

Op de stoel van IT

Nieuwe ontwikkelingen zoals de inwerkingtreding van de AVG en de opmars van cloudoplossingen laten er geen misverstand over bestaan dat informatiebeveiliging en gegevensbescherming hand in hand gaan. Privacyprofessionals doen er daarom goed aan om over beíde disciplines kennis van zaken te hebben. Niet om op de stoel van IT te gaan zitten. Maar wel om te weten waar de verantwoordelijkheid van de privacyfunctionaris begint en eindigt – en om de juiste vragen te stellen aan securityexperts en andere betrokkenen. Als dat allemaal lukt, krijgt gegevensbescherming écht de aandacht die het verdient.

Interesse in de 3-daagse praktijkcursus Security voor privacyprofessionals? Inschrijven is mogelijk via de website van IIR.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten