Risicomanagement gegevensbescherming en informatiebeveiliging

23 januari 2023 / in Nieuws / door Leandra Beerendonk

Uitval van informatiesystemen, misbruik van vertrouwelijke gegevens of het in verkeerde handen komen van gegevensbestanden of persoonsgegevens kan ernstige gevolgen hebben voor individuele betrokkenen en de organisatie. Denk bijvoorbeeld aan imagoschade, financiële schade, oneigenlijk gebruik van persoonsgegevens, identiteitsfraude en politieke consequenties. Waar slachtoffers van bijvoorbeeld de toeslagenaffaire te maken hadden met oneigenlijk gebruik van persoonsgegevens, financiële schade en discriminatie, liep de Belastingdienst als organisatie naast imagoschade ook een flinke financiële schade op. In 2021 en 2022 legde de Autoriteit Persoonsgegevens namelijk flinke boetes op, met een totaal van bijna 6,5 miljoen euro, voor het bijhouden van zwarte lijsten en hun discriminerende en onrechtmatige werkwijze. 

Voornoemde risico’s willen we uiteraard voorkomen. Gegevensbescherming en informatiebeveiliging zijn belangrijke randvoorwaarden in het streven naar een betrouwbare dienstverlening. Gegevensbescherming en informatiebeveiliging zijn met elkaar verweven, maar er zijn ook verschillen. Waar gegevensbescherming gaat over persoonsgegevens van het individu, kan informatiebeveiliging bijvoorbeeld ook gaan om het beveiligen van vertrouwelijke organisatiegegevens. Daarnaast leveren deze disciplines gezamenlijk een significante bijdrage aan de rechtmatigheid, integriteit en betrouwbaarheid van gegevensverwerkingen door o.a. het toepassen van risicomanagement. 

Risicomanagement is een cyclisch proces (de PDCA-cyclus) dat gaat over het inzichtelijk maken en beoordelen van risico’s en het nemen van maatregelen die deze risico’s voorkomen of beheersen. We beperken ons voor nu tot het risicomanagement in gegevensbescherming en informatiebeveiliging, maar er is uiteraard een breder scala aan risico’s te onderscheiden. Risicomanagement brengt het privacybeleid in lijn met de ontwikkeling, de inrichting en de inzet van gegevensverwerkingen. Zo wordt voldaan aan de geldende wet- en regelgeving en worden de belangen van betrokkenen gewaarborgd. Risicomanagement bestaat in hoofdlijnen uit deze stappen:   

  • Context bepalen  
  • Identificeren van risico’s 
  • Analyseren van risico’s 
  • Beoordelen van risico’s 
  • Bepalen van gepaste risicobehandeling en overgaan tot implementatie  
  • Monitoren, evalueren en rapporteren 

Een risico is de kans dat een potentieel gevaar resulteert in een daadwerkelijk incident met een negatief gevolg voor betrokkenen of de organisatie. We kunnen risico’s en onzekerheden onderscheiden, maar onzekerheden zijn in tegenstelling tot risico’s niet meetbaar. Binnen het risicomanagement worden onzekerheden daarom als risico behandeld. 

Om de organisatie en betrokkenen te kunnen beschermen, is het noodzakelijk om een goed beeld te vormen van de mogelijke risico’s. Niet alle risico’s doen zich voor in relatie tot gegevensbescherming of informatiebeveiliging, maar het is belangrijk om aansluiting te zoeken bij andere disciplines waar nodig. Het in beeld hebben van mogelijke risico’s is noodzakelijk om de organisatie en betrokkenen te kunnen beschermen. Het acroniem PESTLE helpt hierbij: 

Political (politieke besluitvorming) 

Economical (inflatie, kosten) 

Social (normen en waarden) 

Technological (technologische ontwikkelingen/ cyber crime) 

Legal (geldende en aankomende wet- en regelgeving) 

Environmental (ecologische footprint) 

Met risicomanagement worden verschillende doelen gerealiseerd. Zo wordt het voor de verschillende stakeholders duidelijk hoe de organisatie risicomanagement heeft ingericht, biedt het handvatten voor het daadwerkelijk mitigeren van risico’s en helpt het bij het voldoen aan de toepasselijke wet- en regelgeving. De doelen die met risicomanagement nagestreefd worden, zijn als volgt geformuleerd: 

  • Inzicht krijgen in de risico’s die de organisatie loopt, met andere woorden: weten wat er speelt.  

Het is van belang om de risico’s die de organisatie loopt in beeld te brengen, te beoordelen en vast te leggen zodat dit als basis kan dienen voor het beheersen van deze risico’s met passende maatregelen. 

  • Inzicht krijgen in de mogelijke risico’s voor het individu, bijvoorbeeld medewerkers en inwoners.
    Risico’s met betrekking tot de bescherming van persoonsgegevens vormen vanuit de Algemene Verordening Gegevensbescherming (AVG) de basis voor beheersmaatregelen.  
  • Naast inzicht verkrijgen, ook het beheersen van de vastgestelde risico’s 

Kortom: Aanpakken en eventuele negatieve gevolgen beperken met technische en organisatorische maatregelen. 

  • Het stimuleren en vergroten van het risicobewustzijn: zorg dat je weet wat je doet.  

Inzicht in de risico’s begint bij het risicobewustzijn van de medewerkers in de organisatie. Als zij risicobewust zijn in hun dagelijkse werkzaamheden kan proactief worden ingespeeld op risico’s zodat deze snel aangepakt kunnen worden. 

  • Voldoen aan de wettelijke kaders van de Algemene Verordening Gegevensbescherming (AVG), Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) en de Archiefwet. 

Veelgebruikte tools binnen privacy en informatiebeveiliging ter identificatie en beoordeling van risico’s zijn de Data Protection Impact Assessment (DPIA) voor het in kaart brengen van privacyrisico’s, de baselinetoets om het basisbeveiligingsniveau te bepalen en Information Security Management Systems (ISMS) en Privacy Management Systems (PMS) om de processen van risicomanagement in de organisatie te borgen. 

Je kunt het aanpakken van risico’s behapbaar maken door een helder risicomanagementdocument op te stellen en bovengenoemde tools te implementeren. Met risicomanagement ontstaat inzicht in de mogelijke risico’s en welke aanpak daarbij passend is. Voor de directie is het risicomanagement een handige leidraad voor sturing op middelen, maatregelen en processen. De tip is dan ook om het document vast te laten stellen en het op te nemen in de dagdagelijkse praktijk. Zo wordt het onderdeel van de organisatievisie. 

Mocht jouw organisatie behoefte hebben aan risicomanagement en heb je geen idee waar te beginnen? Lex Digitalis is een fullservicebureau op het gebied van privacy, data en cybersecurity. Ook op het gebied van risicomanagement kan Lex Digitalis u adviseren en ondersteunen. Denk daarbij bijvoorbeeld aan het informeren van de organisatie of het volledig uitwerken van het risicomanagement. U kunt daarover contact met mij opnemen (06 –43 41 30 86 of Leandra.Beerendonk@lexdigitalis.nl) of met een van mijn collega’s. We kunnen altijd vrijblijvend even sparren.