Privacy. Het is een steeds meer beladen onderwerp geworden. Iedereen heeft het erover en, nu we weten wat onder andere de (inter)nationale overheden van ons weten, heeft het ook steeds meer de aandacht van de consument.

Het is een hot-topic en de media gaat hier volledig in mee. Zo ook de komende twee weken (17-10-2016 t/m 30-10-2016) dat NPO3 uitgebreid aandacht besteedt aan dit onderwerp. Inclusief vanavond (17-10) een nationale privacytest.

Dit deed mij beseffen dat ik ook een blog kan wijden aan dit belangrijke onderwerp, inclusief wat dit betekent voor organisaties en wat ik hierbij verwacht van informatiebeveiligers. Het is in elk geval een deel van mijn vakgebied wat zeer in de schijnwerpers staat.

Waar staat privacy (onder andere) beschreven?

Privacy is een recht vanuit de (Nederlandse) grondwet. Artikel 10 (link) van beschrijft in 3 stukken:

1.      Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer.

2.      De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens.

3.      De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens.

Organisaties zullen dit moeten naleven. Dit zijn echter zeer brede aandachtsgebieden waar enige uitleg en toelichting bij nodig is. De Nederlandse overheid heeft deze toelichting vastgelegd in de Wet Bescherming Persoonsgegevens (WBP). Hier staat in een flink aantal paragrafen de verplichtingen ten aanzien van dit onderwerp. Belangrijkste is lid 13 waarin gesteld wordt ‘dat de verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer legt om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking […]’ (link)

Tot slot een laatste opmerking ten aanzien van dit onderwerp. Per 25 mei 2016(!) is de nieuwe Europese wetgeving, de Algemene Verordening Gegevensbescherming (AVG), is ingegaan waarbij elke (decentrale) overheid in de landen 2 jaar de tijd hebben om te gaan voldoen aan deze wetgeving. 25 mei 2018 zal een belangrijke datum zijn!

De relatie met informatiebeveiliging?

Vanuit deze wettelijke kaders zullen organisaties voldoende maatregelen moeten treffen om te zorgen dat zij voldoen aan de wet. Het zogenoemde ‘compliant’ zijn. Kunnen aantonen dat inderdaad díe passende maatregelen getroffen zijn ten aanzien van de soorten gegevens de betreffende organisatie heeft.

De informatiebeveiligers moeten hier een adviserende én controlerende rol innemen. Hierbij is het belangrijk dat zij de organisatie adviseren vanuit het informatierisicomanagement perspectief. Dit zo goed mogelijk en daarbij duidelijke keuzes en overwegingen voorleggen aan het management. Hiervoor is het van belang dat er een juist inzicht is in welke gegevens de organisatie in huis heeft en op welke manieren hier toegang toe verkregen kan worden. Van informatiebeveiligers verwacht ik dan ook dat zij actief contact zoeken met de privacyofficers in de organisatie. Zij zijn degene die, namens de business-eigenaren, privacy impact analyses (PIA’s) uitvoeren. Indien een ISO natuurlijk voldoende geschoold is kan hij deze analyses ook zelf uitvoeren. Op basis van deze analyse kan met de mate van gevoeligheid ook direct de mate van vertrouwelijkheid bepaald worden.

Wat betekent dit voor organisaties?

Het wordt meer dan ooit van belang dat organisaties hun zaken op orde gaan krijgen. Naast het imagorisico, dat natuurlijk altijd al aanwezig was, gaat dus ook vanuit de wet en regelgeving steeds meer aandacht komen inclusief de bijhorende sanctioneringen. Tot slot is de consument in razend tempo steeds meer bewust en terecht argwanend ten aanzien van dit onderwerp. Zij worden eenvoudig opgevoed door alle mediapubliciteit die gegeven wordt aan de wijzigende wetten, verscherpte controles en daadwerkelijke misstanden.

Sluit ik deze blog af met 3 belangrijke aandachtspunten in organisaties:

1. Waar staan welke (privacygevoelige)gegevens en wie kan daarbij?
2. Neem hierbij ook eventuele lokale kopieën, rapportages en data-warehouses bij mee.
3. Welke (privacygevoelige)gegevens worden incidenteel of periodiek uitgewisseld met derden en is hier een overeenkomst voor?