Waarom is een systematische aanpak van privacy management effectief?

Een beheersysteem, dat voldoet aan ISO 27701, helpt organisaties beter te voldoen aan de wettelijke vereisten en menselijke fouten te beperken. Bedrijven die deze weg bewandelen, zijn beter toegerust om wettelijke risico's te beheren en een gezonde beveiligingscultuur te waarborgen.

Vanwege nieuwe regelgeving zoals de Europese AVG staat het beheer van privacygevoelige informatie sinds 2018 in elke organisatie hoog op de agenda. De nadruk kwam te liggen op het individuele eigendom van persoonsgegevens. Organisaties over de hele wereld werden gedwongen dit recht te beschermen op een manier die aan specifieke regels voldoet.

Maar consistente bescherming van persoonsgegevens blijft een uitdaging voor organisaties. Uit een recente Espresso-enquête door DNV blijkt dat de volwassenheid op dit terrein slechts weinig is verbeterd sinds de vergelijkbare enquête van 2019. Toen de AVG vier jaar geleden werd ingevoerd, moesten organisaties nog in allerijl maatregelen nemen om compliance te waarborgen. Het lijkt erop dat deze benadering bij veel organisaties nog altijd vooropstaat. Het kan echter zeer beperkend zijn als het beheer van privacygevoelige informatie zuiver en alleen vanuit complianceperspectief wordt benaderd.

De mens is de belangrijkste risicofactor

De organisaties die aan de enquête deelnamen, noemden menselijke fouten als de belangrijkste risicofactor (44,5%). Dit werd gevolgd door een gebrek aan bewustwording bij medewerkers of een zwakke organisatiecultuur (27,7%) en een gebrek aan juridische competentie of goede interpretatie van wettelijke voorschriften (25,3%). Het feit dat men zich vooral zorgen maakt over organisatorische, culturele en competentiegerelateerde problemen, in plaats van over externe dreigingen, verschilt niet zoveel van het beeld dat in 2019 naar voren kwam. Er is echter wel sprake van een accentverschuiving in de getroffen maatregelen, van de technologie naar de mens. In 2019 werd nog vooral geïnvesteerd in verbetering van de IT-beveiliging, maar nu zijn de grootste investeringen gericht op training en bewustwording van medewerkers. Bijna de helft van de ondervraagden geeft hieraan prioriteit.

Wanneer menselijke fouten en een gebrek aan bewustwording als grote risicofactoren worden beschouwd, betekent dit vaak dat er nog geen effectieve cultuuropbouw heeft plaatsgevonden. Dit kan gemakkelijk worden verbeterd door invoering van een formeel model voor kwaliteitsborging in de vorm van een managementsysteem. Omdat er bijvoorbeeld bij elke organisatie sprake is van personeelsverloop, moeten er trainingen voor nieuwe medewerkers worden aangeboden en moet het bestaande personeel met regelmatige tussenpozen opfriscursussen volgen.

Bouwen aan een consistente beveiligingscultuur 

In deze behoefte kan het best worden voorzien met een managementsysteem dat is gebaseerd op de best practices uit ISO 27701: de norm voor het beheer van privacygevoelige informatie via een Privacy Information Management System. Deze norm definieert specifieke vereisten voor regelmatige training en bewustwording om een consistent niveau in de hele organisatie te garanderen. Dit vergroot de betrokkenheid en helpt medewerkers om te denken in termen van privacy, waardoor ze beter kunnen omgaan met onzekerheid rond dit thema. Ervaringen op andere terreinen, zoals informatiebeveiliging, hebben duidelijk gemaakt dat organisaties een robuuste beveiligingscultuur kunnen opbouwen en optimaliseren door een managementsysteem te implementeren.

In een sterk verbonden samenleving zijn er vele risicofactoren op privacygebied, uiteenlopend van informatie- en cyberbeveiliging tot al dan niet bewust onrechtmatige toepassing of opslag van gegevens door de organisatie zelf of door andere legitieme actoren. Aangezien tegenwoordig de meeste organisaties privacyrisico’s lopen, is het essentieel dat ze oog hebben voor IT-beveiliging en daar ook in investeren. De zwakke plek in de informatieketen is echter vaak de mens die gebruikmaakt van de informatie en van de hardware en software waarmee de informatie wordt verwerkt. Dit onderstreept de grote behoefte aan regelmatige training. Dit kan de vorm aannemen van e-learning, korte cursussen of uitgebreidere trainingen voor iedereen die betrokken is bij informatiemanagement.

Systemen zorgen voor een robuuste en betrouwbare aanpak 

Natuurlijk zijn er, naast een conform managementsysteem, nog meer aspecten van belang. Bijvoorbeeld de aanwezigheid van interne domeinexperts met de juiste opleiding, die kunnen fungeren als aanspreekpunt voor collega’s die vragen hebben op privacygebied. Deze specialisten kunnen de organisatie helpen de privacylogica beter in te bedden in ontwerpen (privacy by design) en standaardwerkwijzen (privacy by default). Deze aanpak waarborgt op een systematische manier de gegevensbeveiliging door middel van processen om beperkingen op te leggen aan de verzameling en verwerking van informatie, de kwaliteit te waarborgen en de opslag en verwijdering van gegevens te beheren. Daarnaast worden controlemechanismen toegepast op de gegevensoverdracht tijdens de ontwerpfase van een project en bij veranderingen in de gegevensverwerking.

Uit de DNV-enquête bleek dat organisaties fors hebben geïnvesteerd in training en bewustwording van medewerkers om het risico van menselijke fouten te beperken. Investeren in competenties is altijd een constructieve aanpak. Maar we zien voor organisaties ook een mogelijkheid om hun investeringen in training te koppelen aan de implementatie van een ISO 27701-conform Privacy Information Management System en zo de aanpak nog robuuster, veerkrachtiger en betrouwbaarder te maken.

Door Nanda kumar Shamanna, ICT Business Manager, DNV