Print:

Security must-knows voor Privacy Officers

Redactie IIR, Trainingen & Conferenties

LinkedIn profiel

Encryptie, pseudonimisering, firewalls, tweefactor-authenticatie, kunstmatige intelligentie, big data. Privacyprofessionals krijgen steeds meer te maken met securityvraagstukken en IT-oplossingen. Daarover hoeven ze niet alle details te weten. Maar wie een serieuze gesprekspartner wil zijn voor collega’s en leveranciers, heeft wel basiskennis van security nodig. Drie inzichten om in het oog te houden.

Security voor privacyprofessionals | IIRArtificiële Intelligentie (AI) is in opmars, vaak zonder dat we ons ervan bewust zijn. Een belastingaanslag, een verkeersboete of een gepersonaliseerde advertentie? In veel gevallen zit daar niet een mens maar een computer achter. Het is doorgaans volstrekt onduidelijk hoe een algoritme tot beslissingen komt, constateert Marlies van Eck in haar promotieonderzoek naar geautomatiseerde ketenbesluiten. “Ik wilde onderzoeken hoe de wet wordt omgezet in instructies aan de computer. Maar als ik al stukken te zien kreeg dan begreep ik daar helemaal niets van”, schrijft ze in een blog over haar onderzoek. “Ik kwam tot de conclusie dat bij het geautomatiseerd nemen van besluiten, niet duidelijk is hoe de overheid de wet heeft geïnterpreteerd. Ik kon niet onderzoeken of dit goed is gegaan en welke keuzes er zijn gemaakt. Hierdoor is de rechtsbescherming voor burgers afgenomen. De burger en ook de rechter weten niet waarom de computer tot zijn besluit komt.”

AI is misschien een extreem voorbeeld, want niet alle ICT-toepassingen zijn zo ingewikkeld en ondoorgrondelijk. Toch is de kans groot dat privacyprofessionals in hun dagelijkse werk met allerlei innovatieve technologieën en onverwachte dataverwerkingen te maken krijgen. Drie actuele inzichten die helpen om het goede gesprek over security te voeren.

Breng het data-landschap in kaart

“Het in kaart brengen van het data-landschap is het startpunt voor het kiezen van de juiste beveiligingsoplossing.” Dat zei Dirk Geeraerts van securitybedrijf Gemalto recent in een interview. “Veel bedrijven bezitten al eindeloos veel data. Deze hoeveelheid wordt alleen maar groter. Daarmee wordt data goed beveiligen niet alleen steeds belangrijker, maar ook een steeds grotere uitdaging.”

Geeraerts pleit voor een zorgvuldige inventarisatie van alle data die binnen een organisatie worden verwerkt. Vervolgens kunnen data worden geclassificeerd, zodat de meest vertrouwelijke informatie, processen en systemen de hoogste beveiliging krijgen. Deze werkwijze is een evidente must-do met het oog op cybersecurity. De aanpak past ook bij de Algemene verordening gegevensbescherming (AVG), die nu eenmaal passende maatregelen voor de beveiliging van persoonsgegevens vereist.

Kijk verder dan de techniek

“Van nature zijn IT-afdelingen geneigd om zaken op te lossen met technische maatregelen. Maar alleen daarmee ga je het niet redden. Mede door de komst van de AVG is het cruciaal dat organisaties meer aandacht besteden aan het internetgedrag van medewerkers”, aldus Kristian de Bruijn van serviceprovider BIT.

Uit onderzoek van BIT blijkt onder andere dat meer dan de helft van de werknemers wachtwoorden op papier of in een e-mail bewaart. Bovendien gebruikt slechts een zeer klein deel van de respondenten – zo’n vijftien procent – een passwordgenerator of wachtwoordmanager.

Bewustwording van securityrisico’s en kennis over preventie zouden volgens De Bruijn de veiligheid dan ook met minstens 25 procent kunnen verhogen. “Hierbij moet de IT-afdeling zich kwetsbaar opstellen; ja, technische maatregelen zijn noodzakelijk, maar de hulp van medewerkers ook. Informeer hen over de ontwikkelingen op securitygebied, geef inzicht in risico’s en vraag aandacht voor maatregelen.”

Vergeet de basisbeveiliging niet

Systematisch software-updates installeren, regelmatig wachtwoorden wijzigen en tijdig back-ups maken. Het zijn relatief simpele beveiligingsmaatregelen. Toch zijn ze essentieel om cyberdreigingen tegen te gaan, schreef het Rathenau Instituut naar aanleiding van onderzoek naar digitale weerbaarheid. “De eerste stap voor het versterken van de weerbaarheid tegen cyberaanvallen is het op orde brengen van de basisbeveiliging. Dat geldt niet alleen voor burgers, maar ook voor het bedrijfsleven, de overheid en de vitale infrastructuur.”

Tot de basisbeveiliging behoren volgens het Rathenau Instituut naast maatregelen om aanvallers buiten de deur te houden ook systemen voor detectie en respons. “Een volhardende of geavanceerde hacker lukt het vroeg of laat om binnen te komen. Daarom is het noodzakelijk om te weten welke processen en informatie essentieel zijn voor de bedrijfsvoering en om hiervoor specifieke maatregelen te treffen. Om afwijkende patronen te kunnen detecteren en in te grijpen als dat nodig is, moeten bedrijven aandacht geven aan de monitoring van kritische processen.” En het mag duidelijk zijn: monitoring van dataverwerkingen is een opgave waaraan niet alleen securityprofessionals maar ook privacy officers een onmisbare bijdrage kunnen leveren.

Alle basiskennis van security opdoen die noodzakelijk is voor het werk van privacy officer? Volg dan de driedaagse praktijkcursus Security voor privacyprofessionals.

Security voor Privacy Professionals | IIR

 

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten