Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Help, ben ik wel AVG-proof?

 

Computable Expert

Simon Kornblum
Commercieel & portfolio manager , IntraData. Expert van Computable voor de topics Outsourcing en Cloud Computing.

Ruim acht maanden na de introductie van de nieuwe privacywet is AVG nog lang niet overal goed doorgevoerd. Bedrijven worstelen met de materie en hebben geen idee of ze er helemaal klaar voor zijn. Hoe weet je zeker dat je AVG-proof bent - en dat je geen persoonsgegevens meer in je systemen hebt die je als organisatie niet mág hebben?

AVG stemt tot nadenken: over je informatiestrategie, over de manier waarop je met (keten)partners communiceert en de zekerheid die je daarmee hebt rondom de mate van compliance. En ook of je zelf nog investeringen moet doen voor benodigde technologieën en zo ja welke?

Afhankelijk

"Technologie ontwikkelt zich steeds sneller en het gebruik ervan is noodzakelijk om bij te blijven in de concurrentiestrijd"

Bedrijven en organisaties zijn volledig afhankelijk geworden van data, van informatie uit die data en van de kennis die is te halen uit de verwerking ervan. Dat maakt dat je zekerheden moet hebben met betrekking tot het creëren, delen en beheren van deze informatie. Uitbesteden van gegevensbeheer is in toenemende mate een serieus alternatief. Een die steeds vaker wordt overwogen, zeker nu de cloudproviding niet meer is weg te denken.

Logisch eigenlijk omdat goed informatiemanagement complex is geworden om op alle vlakken van informatieveiligheid te kunnen blijven voldoen aan wet- en regelgeving. Zeker als dat moet binnen je eigen bedrijfsomgeving. Technologie ontwikkelt zich steeds sneller en het gebruik ervan is noodzakelijk om bij te blijven in de concurrentiestrijd. Let wel, ik zeg het gebruik, niet het hebben van technologie is noodzaak. Daar zit een essentieel verschil. Een verschil dat ook binnen de organisatie invloed heeft, bijvoorbeeld op de rol van de chief information officer (cio). Die verschuift meer en meer naar de rol van chief information security officer (ciso). Security is het sleutelwoord in onze moderne informatiemaatschappij.

Faciliteren

Met uitbesteden bedoel ik niet zozeer dat alles buiten de deur wordt gezet, wat een tijdje populair is geweest in de crisistijd die achter ons ligt. Nee, het gaat meer om het faciliteren van gewenste functionaliteit in de vorm van bepaalde dienstverleningen. Neem security.

Wat de AVG ons in elk geval heeft gebracht, is dat organisaties zich bewust zijn geworden van de toenemende risico’s en de complexiteit die goede informatiebeveiliging met zich meebrengt. Er wordt controle gevraagd, transparantie naar bijvoorbeeld toezichthouders en belanghebbenden en tegelijkertijd moet het waterdicht beveiligd zijn. Dat is bijna met elkaar in tegenspraak.

Wanneer je het probleem echter anders benadert, zoals de aangifte van je belasting, wordt het al overzichtelijker. Dat doen de meeste bedrijven en mensen individueel toch ook via een accountant of andere financieel expert? Zo kun je ook met informatiebeveiliging omgaan: laat een expert het (online)platform en de functionaliteit leveren, waarop jij jouw kernactiviteiten onder geconditioneerde omstandigheden kunt uitvoeren: veilig en vertrouwd. Dat kan perfect in een software-as-a-service (saas)-model. Je krijgt een gerichte dienstverlening tot je beschikking, gebaseerd op de functionaliteit die jij wilt afnemen en/of nodig hebt. Gebaseerd ook op de nieuwste technologie met volledige transparantie, die je bovendien in staat stelt precies te reconstrueren wie op welk moment wat heeft gedaan met welke informatie. Het risico op ‘verkeerde’ informatie of verkeerde handelingen is daarmee een stuk kleiner; je bent immers impliciet voortdurend gebonden aan de regels van de AVG die zitten ingebouwd in de gefaciliteerde functionaliteit.

Van begeleidend naar corrigerend

"Nog veel werk aan de winkel dus, wat een trieste constatering is"

De dataverzamelwoede van voorheen is niet meer toegestaan; need-to-know en nice-to-know is waar het nu om draait. Als er geen verband is met de kerntaak van de onderneming is het niet meer toegestaan om (privacygevoelige) persoonsdata te verzamelen en te bewaren. Daar moet een doordachte visie, beleid en executie van dat beleid aan ten grondslag liggen. Recent onderzoek bevestigt het beeld dat nog niet de helft van het Nederlandse bedrijfsleven zo ver is dat het volledig AVG-proof is.

Nog veel werk aan de winkel dus, wat enerzijds een trieste constatering is, maar een die volledig is toe te schrijven aan de complexiteit van de materie en de bijbehorende technologie. Er is een aantal factoren dat een cruciale rol speelt om grip op informatie te krijgen en te houden: middelen (techniek/systemen), processen en mensen.

De eerste twee, middelen en processen, zijn in te regelen. Nu dus het bewustzijn begint door te dringen van het belang van adequaat informatiebeheer, wordt het tijd om stappen te zetten. Want je wilt toch niet dat de Autoriteit Persoonsgegevens (AP) je als toezichthouder op de vingers tikt, om een informatieanalyse vraagt met alles rondom het wat en hoe, inclusief bijbehorend informatiebeheerplan en je het antwoord schuldig moeten blijven? Die AP heeft al aangegeven dat het beleid langzaam van ‘begeleidend’ naar ‘corrigerend’ gaat en vervolgens naar ‘handhavend’. Je krijgt dus nog wel tijd de mogelijkheid een en ander op orde te brengen, maar daarna heb je een serieus probleem als je niet het gevraagde ophoest en aantoont dat je je zaakjes op orde hebt.

Druk neemt toe

Op zich niets nieuws. Dit is al bekend vanaf het moment dat de AVG (GDPR in Europees verband) in 2016 werd aangekondigd. Maar het wordt wel langzaamaan concreter. De Nationale Politie is al op de vingers getikt (met een boete van 80.000 euro) voor het niet (tijdig) op orde hebben van (een deel van) haar informatiebeer. Ook een aantal ministeries waaronder dat van Veiligheid en Justitie (in verband met het bewaren van telecomgegevens), het UWV (omdat die bijvoorbeeld informatie vroeg aan aanvragers van uitkeringen in het kader van de ziektewet die niet relevant was), de Belastingdienst en zo kan ik nog wel even doorgaan. De Autoriteit Persoonsgegevens heeft sinds de invoering van de AVG op 25 mei van vorig jaar meer dan zevenduizend tips en klachten over vermeende privacy-schendingen ontvangen. De druk neemt dus toe.


Proactieve aanpak

Ik pleit ervoor proactief in te spelen op de veranderde (informatie)wereld, in plaats van dat de AP je publiekelijk op de vingers tikt. De schade die daaruit voortvloeit, ook al maak je het daarna alsnog voor elkaar, is vaak al erg genoeg. Als branche moet je de consequenties (kunnen) overzien en je branche op niveau brengen. Niet omdat het moet, maar omdat je dat als branche zelf zou moeten willen. Omdat deze problematiek nogal wat investeringen zou vergen van individuele partijen is het goed specialisten in te zetten.

Dus, wat wordt het uitzicht van 2019, doormodderen of knopen hakken?

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/6590393). © Jaarbeurs IT Media.

?


Lees ook


 

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt
Vacatures bij AP

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.