Adequate gegevensbescherming werkt alleen als informatiebeveiliging op orde is

Door Artikel IB5-2021 - Peter van Schelven, Dré Lameir, Bianca Brooijmans 13 dec 2021

Auteurs: Peter van Schelven is jurist en arbiter bij BIJ PETER - Wet & Recht en bereikbaar via linkedin.com/in/petervanschelven, Dré Lameir is CISO en CTO bij Enovation Group en is bereikbaar via linkedin.com/in/lameir. Bianca Brooijmans is FG bij Enovation Group en zelfstandige. Bianca is bereikbaar via linkedin.com/in/biancabrooijmans.

Lunch op een willekeurige werkdag, Peter (van Schelven, jurist), Dré (Lameir, CISO) en ikzelf (Bianca Brooijmans, FG). Vlak voor de jaarlijkse audit kijken we terug op het afgelopen jaar, de ontwikkelingen en voorbereidingen. We zitten al jaren in het vak en hebben meebewogen met de ontwikkelingen in de markt.

We werken nauw samen en we zijn er van overtuigd dat we compliance niet voor elkaar krijgen zonder elkaars expertise en zonder het besef van urgentie bij de directie, maar dat is zeker niet zo in iedere organisatie. Peter merkt hierover op: “In de diverse opleidingen die ik als IT-rechtelijk georiënteerde docent verzorg, merk ik vaak dat deelnemers soms tamelijk verkokerd in hun werk zitten. Zo nemen veel privacy-juristen primair de wettelijke regels als vertrekpunt, ze hebben daarbij aanzienlijk minder oog voor bijvoorbeeld de almaar toenemende complexiteit van informatietechnologie en de constante wapenwedloop tussen IT-systemen en de maatregelen om beveiliging daarvan te realiseren. Ik ontken uiteraard het belang van de juridische component niet, maar met een overdreven geloof in regels, baselines, contracten en andere lappen tekst wordt de wereld op zich niet veel mooier en veiliger: papier is geduldig!” 

Uitwassen
“Sterker nog, kijk je naar de praktijk van verwerkerscontracten, dan zie je dat er vaak driftig wordt onderhandeld over het afwentelen van financiële risico’s van de ene op de andere contractpartij. Het gaat dan helemaal niet meer over de daadwerkelijke bescherming van de persoonsgegevens van de betrokken burgers. Dergelijke uitwassen in de juridische praktijk, mede mogelijk gemaakt door naïeve privacywetgeving en relatieve machtsposities van contractspartijen, zijn ‘a part of the problem’. De jurist die wel in het hart van onze digitale samenleving wenst te opereren, zal zich welbewust en in volle kwetsbaarheid moeten bewegen op het raakvlak van vele terreinen, zoals de informatietechnologie, de security-praktijk, data-ethiek, verandermanagement, stakeholdermanagement, maatschappelijke weerbaarheid en het creëren van draagvlak – zowel aan de top als op de werkvloer van organisaties. Dus: géén ‘law in the books’, maar ‘law in action’. 
Ja, ook ik herken wat Peter zegt. Ik heb veel contact met collega FG’s en we bespreken vaak de ‘papieren’ kant van het verhaal – de verwerkersovereenkomst, de aansprakelijkheid, maar het gaat (gek genoeg?) bijna nooit over hoe we echt invulling geven aan de verwerkingen waar het over gaat. Een FG dicht bij de organisatie in een gelukkig huwelijk met de CISO zie ik randvoorwaardelijk voor het laten slagen van informatiebeveilig. Immers het borgen van goede en veilige verwerking van (persoons)gegevens valt of staat met adequate technische maatregelen.
We schakelen veel inhoudelijk met de jurist. Het is immers geen checklist maar zorgen dat wat je doet past bij de organisatie, de diensten en ook binnen de kaders van de wettelijke verplichtingen. De AVG (met name) is geen one size fits all. 
Dré valt bij: “Het is ook onderdeel van het volwassen worden van een afdeling in de organisatie. Veel organisaties beginnen met inrichten voor de bühne. Het hebben van een FG en/of CISO krijgt vaak het karakter van een extra rol/functie ernaast of als dienstverlening in te huren 'as a service'. 
Daarbij wordt vergeten om meteen de vertaalslag te maken naar de eigen organisatie. Een template of checklist is goed, maar zorg wel dat het mapt op de eigen organisatie. Vaak is de start een gedownloade set templates en een Excel sheet met standaard risico’s. Die sheet gaat dan jaar na jaar mee. Maar kijk nu eens welke risico’s je echt loopt in je organisatie op het gebied van privacy en security. Security by design en privacy by default is ook zo’n gebied waar wetgeving soms haaks staat op de praktijk. Het kost energie om daarin stappen te zetten, preventief, want de energie die nodig is om fouten te herstellen is vaak vele malen meer. Welke gegevens heb je echt niet nodig? Wat juist wel maar moet je beter beschermen? Hoe zit het contractueel? Wettelijk? Bewustwording op dit vlak is zeker iets wat Legal, Compliance en DevSecOps samen moeten helpen vergroten.”

Eilandjes
Alle drie werken we bijna dagelijks samen aan vraagstukken die bij één van ons binnenkomen. We geloven erin dat adequate gegevensbescherming alleen werkt als informatiebeveiliging op orde is. Wat velen vergeten is dat passende informatiebeveiliging óók betekent dat de juridische zaken op orde zijn; is de verzekering passend, hebben we de klant op de juiste wijze verteld wat we doen en waar ze op mogen vertrouwen? Uiteindelijk dien je hetzelfde belang – zorgen dat de privacy niet geschonden wordt! Maar met drie jaar AVG op tafel, horen we nog te vaak dat met name op het gebied van informatiebeveiliging en privacy het echt wel eilandjes zijn. 

Dit artikel verscheen in IB5-2021, de privacy special.
Voor het opgemaakte artikel (pdf), klik hier onder op 'Document downloaden'.