ZBC Kennisbank

Je weg vinden door het moeras van privacy en informatiebeveiliging

 

Wanneer je aan een moeras denkt, denk je van oudsher al snel aan een gebied vol schimmige gevaren. Er doen allerlei angstaanjagende verhalen de ronde over de risico’s die je loopt, als je je weg zoekt door het moeras. De meeste mensen keren dan ook maar liever om, als ze voor een moeras komen te staan.

Informatiebeveiliging en privacy kun je beschouwen als een moeras. De verhalen over de risico’s zijn legio. Heel veel organisaties hebben er dan ook voor gekozen, zich niet te branden aan het zoeken van een weg door dit moeras. Privacy en informatiebeveiliging raken echter steeds meer verweven en deze onderwerpen worden tegenwoordig beschouwd als een hygiëne factor voor organisaties, waarmee je je reputatie op het spel kunt zetten. Je komt  er nu niet meer mee weg, dit moeras maar te mijden. Je zult een weg naar de overkant moeten vinden. Kennis van het moeras helpt je daarbij niet. Als je even wegzakt, heb je immers weinig aan deze kennis. Veel belangrijker is, dat je kennis van de paadjes hebt.

Scenario’s voor een aanpak

Consultants die er zich mee bezig houden, hebben veelal ieder hun eigen aanpak om door dit moeras te komen. Voordat je je aan hen uitlevert, is het goed te weten welke aanpakken er zijn om een weg naar de overkant te vinden. Er zijn drie hoofdvarianten:

  1. Je verdiept je niet in de weg door het moeras, maar bouwt een brug over het moeras of een tunnel er onderdoor. Dit vereist natuurlijk veel beton, zand en staal.  Het wordt dan een project dat doorgaans meerdere jaren in beslag neemt met natuurlijk het bijbehorende prijskaartje.
  2. Hier tegenover staat een aanpak, waarbij je uitgaat van de paadjes door het moeras die je als organisatie zelf al gevonden hebt. Je moet de  verbindingen tussen die paadjes maken en wegwijzers uitzetten en zo nodig gebruik maken van stepping stones. Je hebt daar een goede interne gids bij nodig, die er ook voor zorgt dat de paadjes begaanbaar blijven en die de gebruikers in je organisatie helpt om op de paadjes te blijven of te paadjes terug te vinden, als ze een keer natte voeten oplopen en natuurlijk een directie, die deze gids actief steunt. De doorlooptijd is kort en de kosten zijn laag. (Zie ook ‘Binnen drie maanden een ISO 27001 certificaat halen’.)
  3. Hier tussenin ligt een variant die eveneens uitgaat van de al bestaande paadjes, maar waarbij  deze waar nodig voorzien worden van leuningen en  waarbij  de verbindingen tussen de paadjes gemaakt wordt door bruggetjes en vlonders te bouwen en zo nodig wat extra zand aan te brengen. De noodzaak van een interne goede gids is in dit geval lager. Er ontstaat zo  immers een duidelijke en goed begaanbare weg. Gebruikers in je organisatie kunnen hier gemakkelijker overheen lopen en zullen niet snel natte voeten krijgen. Wel vergen leuningen, bruggetjes en vlonders wat onderhoud, als ze eenmaal aangebracht zijn. (Zie ook ‘Kader borgt gedachtegoed en versterkt dienstverlening ZBC’.) 

Wanneer welk scenario?

Voor welk scenario je het beste kunt kiezen, is afhankelijk van een aantal factoren:

  • het risico op reputatieschade;
  • de betrokkenheid van de directie (bestuurders);
  • de paadjes die je al hebt gevonden;
  • de hoeveelheid relevante risico’s in het moeras;
  • de eisen die door de omgeving worden gesteld;
  • de bereidheid om natte voeten te krijgen.

Scenario 1

Als het risico op reputatieschade groot is en er veel risico’s zijn, zijn er heel veel paadjes nodig om al die risico’s te omzeilen. Het bouwen van een brug of een tunnel is dan de meest voor de hand liggende optie. Dan hoeven de bestuurders zich niet te verdiepen in de paadjes die al zijn gevonden  en in alle paadjes die nog moeten worden ontdekt. Ook zul je dan zeker niet het verwijt krijgen, dat het probleem niet is aangepakt. Uiteraard moet je hiervoor wel voldoende budget en tijd hebben. Voor banken, ziekenhuizen en grote publieke organisaties is dat echter doorgaans niet de belangrijkste zorg. Belangrijkste valkuil hierbij is, dat directie en bestuurders van grotere organisaties kiezen voor dit scenario, omdat ze zelf eigenlijk niet geïnteresseerd zijn en dan uit behoefte aan compliance simpelweg verordonneren een brug te bouwen, zonder te beseffen wat hierbij komt kijken. Heel vaak resulteert dit in stukjes brug, die tezamen voor gebruikers geen begaanbare weg naar de overkant vormen. Iedere gebruiker zal dan al snel buiten het zicht van de directie zijn eigen sluiproutes kiezen.

Scenario 2

Scenario 2 is meestal uitstekend geschikt voor bewerkers. Vooral grotere klanten van bewerkers eisen garanties, veelal in de vorm van een ISO 27001 of een NEN 7510 certificaat. Meestal moet dit ook snel gerealiseerd worden. De scope is in dit geval gericht op die dienstverlening aan klanten. Zelf zijn de bewerkers relatief ongevoelig voor reputatieschade. Vaak ook hebben ze zelf al veel paadjes door het moeras gevonden, bijvoorbeeld  door uitbesteding van gegevensverwerking (cloud, datacenter). Daardoor is het aantal risico’s beperkt. Bovendien weet de directie vaak bijzonder goed wat zich op de werkvloer afspeelt en is zij betrokken, omdat er anders mogelijk grote klanten (en dus business) worden verspeeld. Het grootste probleem in dit scenario is heel vaak dat niet aangetoond kan worden dat de zaken op orde zijn. 

Scenario 3

Scenario 3 ligt voor de hand voor middelgrote en kleinere organisaties die hun privacy en informatiebeveiliging op orde willen hebben. Het is dan heel belangrijk om serieus te kijken naar de ernst en omvang van de risico’s.

  • Voor organisaties met weinig klanten (productiebedrijven) zijn de risico’s laag. Het moeras is  vaak goed begaanbaar. Alleen een aantal zwakke plekken moet worden versterkt. Vaak betreft dit vooral de beschikbaarheid van de voorzieningen.
  • Voor organisaties met veel consumenten als klant (veel lagere overheden, retail, service bedrijven enzovoort) liggen vooral de privacy risico’s hoger. Ze beschikken doorgaans over veel data van consumenten (en zijn volgens de AVG verantwoordelijke) en worden geacht hier op een nette manier mee om te gaan. Meestal gaat het hierbij gelukkig niet om bijzondere persoonsgegevens. Privacy en informatiebeveiliging worden dan gezien als ondergeschikt aan het primaire proces en dus moet er een duidelijk en goed begaanbaar pad zijn. Gebruikers moeten vaak geholpen worden om op dit pad te blijven.
  • Daarnaast zijn er ook organisaties die de zorg hebben voor grote aantallen cliënten, van wie ze ook bijzondere persoonsgegevens verwerken en vastleggen. Denk bijvoorbeeld aan onderwijs- en zorginstellingen. Niet alleen worden er hoge eisen gesteld aan de vertrouwelijkheid (privacy). Ook zijn de beschikbaarheid en de juistheid van de informatie belangrijke issues. Het gaat dan doorgaans ook nog om instellingen die toch al over gereglementeerd. Zij zitten allerminst te wachten op meer en nieuwe procedures. Om de gebruikers mee te krijgen, is het daarom een noodzaak  zoveel mogelijk reeds bestaande paadjes te gebruiken.

Valkuilen bij het kiezen van een scenario

Bij het kiezen van een scenario moet je zien de volgende valkuilen te vermijden:

  • De keuze voor het bouwen van een brug of het graven van een tunnel (scenario 1) kan alleen vooraf gemaakt worden. Er moet duidelijk sprake zijn van grote en complexe risico’s. De keuze voor dit scenario moet niet gemaakt worden alleen vanuit de wens compliant te zijn.  Het risico is dan groot, dat het project nooit af komt of dat de brug cq tunnel  niet gebruikt wordt. Scenario 3 is dan een betere keus.
  • Scenario 2 is een voor de hand liggende keus voor B2B-dienstverleners die als bewerker optreden voor grote klanten. Security en privacy zijn voor hen nagenoeg synoniem. Doorgaans kan dan ook volstaan worden met een gecombineerde rol van security en privacy officer. Er kan alsnog gekozen worden voor het aanbrengen van leuningen, bruggetjes en vlonders , (scenario 3) als blijkt dat de gebruikers het pad niet kunnen (terug)vinden of wanneer ze een hekel hebben aan natte voeten. Hier is wel een krachtige security/privacy officer voor nodig, die in staat is de gebruikers op het pad te houden en indien nodig het verbeteren van het pad te realiseren. Door het gebruik van logische maatregelen kan dit met beperkte kosten (Zie ook ‘Informatiebeveiliging is helemaal niet zo moeilijk’ en ‘Awareness privacy en informatiebeveiliging niet trainen maar kweken’).
  • En laat je vooral niet gek maken door wat er allemaal geroepen wordt over de AVG. In artikel 1 van de AVG staat: “Het vrije verkeer van persoonsgegevens wordt door de AVG noch beperkt noch verboden om redenen die verband houden met de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens.” De AVG is er niet voor om zaken onmogelijk te maken. Het gaat erom, dat je aantoonbaar zorgvuldig omgaat met privacy. (zie ook ‘Pragmatische benadering AVG en privacy’).

Primair voor informatiebeveiliging en privacy is dat je je risico’s in kaart brengt en dat je bewust en transparant keuzes maakt, hoe je met deze risico’s om wilt gaan. Het zijn jouw bedrijfsrisico’s en het zijn jouw beleidskeuzes en je investeert jouw tijd en geld om de risico’s te reduceren.

Door de krachtenbundeling met Kader kan ZBC naast scenario 3 voor privacy en informatiebeveiliging ook invulling geven aan de diensten volgens scenario 2. Ook geeft ZBC cursussen over deze onderwerpen.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur: Wiebe Zijlstra | 14 augustus 2017


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *