Privacy en security; goed te mengen of liever gescheiden houden?

6 april 2023 / in Nieuws / door Nienke Koorn

Binnen veel organisaties worden privacy en informatiebeveiliging (hierna: security) in één adem genoemd. Maar zijn de twee taakvelden wel zo verenigbaar? Waar zitten de overeenkomsten, en welke onderdelen kun je beter gescheiden houden?

Vaak moet je het als privacy medewerker binnen dat werkveld doen met een enkele collega, soms sta je er zelfs alleen voor. Ook collega’s die zich met security bezighouden kunnen dun gezaaid zijn binnen een organisatie. Het kan dan lonen om je krachten te bundelen. Dit scheelt soms dubbel werk, het cliché is niet voor niks: samen sta je sterk! Als je samen met je security collega’s aan de slag gaat als privacy professional, zijn er wel een paar zaken die je van tevoren wil afspreken.

Noem het beestje bij het naampje

Tomato, tomato, maar dan anders. Wat jij een datalek noemt, noemt je security collega vrolijk een beveiligingsincident. Het verschil zit ‘m natuurlijk in de persoonsgegevens. Als die onderdeel zijn van een incident, hebben we het altijd over een datalek. Zorg er dus voor dat als een incident persoonsgegevens betreft, jij er wel bij betrokken wordt. Zo weet je zeker dat je voldoende tijd hebt om te beoordelen of het datalek bijvoorbeeld moet worden gemeld bij de Autoriteit Persoonsgegevens, en hoe je de betrokkenen gaat vertellen wat er is gebeurd.

Informatiesystemen. Binnen security zijn de werkzaamheden gericht op informatie en informatiesystemen. Die moeten beveiligd worden, in meer of mindere mate afhankelijk van hun classificatie. Dat staat haaks op wat we binnen privacy doen, namelijk focussen op verwerkingen van persoonsgegevens. Een verwerking komt heel vaak binnen een informatiesysteem voor, maar beperkt zich niet uitsluitend tot dat systeem. Voor privacy werkzaamheden is het van belang de volledige gegevensstroom en verwerkingen van persoonsgegevens goed in de smiezen te hebben. Zo houd je controle over die persoonsgegevens, en dat is wat je wilt. Dit grote verschil in aanpak kun je stroomlijnen door bijvoorbeeld een gezamenlijke wiki of legenda op te stellen, waarin je begrippen bundelt en duidt.

Bundeling van krachten

Privacy kan niet zonder security. Persoonsgegevens moeten immers met passende organisatorische en technische maatregelen worden beschermd. Om de juiste, passende maatregelen vast te kunnen stellen, heb je jouw security collega’s nodig. Of in elk geval iemand met de juiste kennis van zaken. Maar geldt het andersom niet ook? Als een informatiesysteem persoonsgegevens bevat, is het voor een security collega niet per definitie duidelijk dat het misschien om bijzondere persoonsgegevens gaat en dat bijvoorbeeld de toestemming van de betrokkene moet worden vastgelegd. Het loont dus om samen op te trekken, en soms zelfs checklists of vragenlijsten te bundelen.

Bij een eerste risicobeoordeling van een nieuw initiatief of project kun je volgens mij security en privacy gemakkelijk samenbrengen. Een simpele Excel met meerdere tabs en een goede introductie kan voor zowel security en privacy bepalen of vervolgstappen nodig zijn. Tot nu toe is het me altijd gelukt om deze eerste check te bundelen. Waarom? Het is voor je collega’s die niet elke dag bezig zijn met privacy en de veiligheid van informatie heel fijn als ze maar met één document hoeven te werken, in plaats van meerdere checks.

Je komt security ook weer tegen als je naar je leveranciersmanagement kijkt. Elke verwerkersovereenkomst moet beschrijven hoe met persoonsgegevens omgegaan dient te worden door de verwerker, en dit kun je het beste samen met je SECURITY-collega bepalen. Mooi dus om bij deze trajecten ook een gedeelde standaard op te stellen, die je in de toekomst een hoop werk en frustratie bespaart.

Een laatste gemakkelijke bundeling van krachten is het delen van een incidentenregister. Ja, datzelfde incident waar ik het eerder over had, dat vaak ook een datalek is. Alle incidenten kunnen vaak worden samengebracht in één register. Dat zorgt voor een duidelijk beeld van welk type incident vaak voorkomt, zodat je ook gericht maatregelen kunt treffen om dit specifieke soort incident te bestrijden. Samenbrengen dus, met een duidelijk onderscheid tussen een incident en een datalek. Zo houd je grip op de informatie en persoonsgegevens die je in beheer hebt, en maak je een organisatie het snelst veiliger.

Samen de bühne op

Zo, de krachten zijn gebundeld, de begrippen duidelijk in beeld en op elkaar afgestemd. Als je eenmaal goed samenwerkt met security, kun je ervoor kiezen om samen je zichtbaarheid te vergroten. Soms is het moeilijk om in je eentje een voet tussen de deur te krijgen bij bepaalde overleggen, maar is er wel een plek aan tafel als je dit samen probeert. Daar komt dat cliché weer om de hoek; samen sta je sterker! Daarnaast is het ook gewoon gezellig en leerzaam om een podium te delen en alle mensen die je wil bereiken iets te vertellen over zowel privacy als security.

Combineren kun je leren

Zoals bij veel afwegingen ligt ook bij de afweging die ik maak de waarheid in het midden. Je kunt bepaalde werkzaamheden en checks prima bundelen tot een security en privacy mix. Voor andere taken ben je als privacy medewerker echt zelf verantwoordelijk, ook omdat dit vaak verplichtingen zijn die de AVG met zich mee brengt. Denk aan je register van verwerkingen en de transparantie waartoe je verplicht bent ten opzichte van je betrokkene. Hier kun je helemaal je eigen plan in trekken, waar het bij een incidentenregister loont om de krachten te bundelen.

Al met al denk ik dat het voor de zichtbaarheid en je compliance heel goed is om je collega’s op te zoeken. Zowel je security collega’s als anderen trouwens, laat dat duidelijk zijn. Het liefst niet pas als er iets gebeurt dat niet door de beugel kan, maar gewoon tijdens een kop koffie, of desnoods als je samen met je security collega’s vertelt waarom privacy en security zo boeiend en belangrijk zijn.