Een integrale aanpak voor gegevensbescherming
De Algemene Verordening Gegevensbescherming (AVG) is bijna 1 jaar oud. Veel organisaties hebben afgelopen jaar hun best gedaan grip te krijgen op privacy met de AVG als belangrijk hulpmiddel. Het was een ‘bumpy road’! De focus op het beschermen van persoonsgegevens van klanten, cliënten, burgers en eigen medewerkers is goed geweest. De afgelopen jaren is privacy toch veelal onderbelicht gebleven. Huidige technologieën nopen juist tot hernieuwde aandacht. Tegelijkertijd hebben veel organisaties de AVG vrij geïsoleerd benaderd. Ik zie dat organisaties de AVG aanpakken als een project, terwijl de AVG geen project is. Het is een manier van werken die in de bedrijfsvoering moet zijn verankerd en onderdeel moet uitmaken van het dagelijkse werk van medewerkers. Dit blog bestaat uit twee delen. In dit eerste deel ga ik in op het belang van een integrale aanpak van privacy én beveiliging, ofwel gegevensbescherming. In het tweede deel zal ik ingaan op de manier waarop organisaties vanuit de baby-fase kunnen groeien naar een volwassen organisatie die ‘in control’ is op gegevensbescherming.
2019 wordt een jaar van privacy én beveiliging
2019 wordt een belangrijk jaar op het gebied van gegevensbescherming. Er zijn verschillende normen aangekondigd. Zo doet de Baseline Informatiebeveiliging Overheid (hiervoor straks meer) haar intrede en wordt er druk gewerkt aan het toezicht op de Wet Beveiliging Netwerk en Informatiesystemen. De nieuwe NEN7510, speciaal voor zorginstellingen en ziekenhuizen, is gepubliceerd en deze organisaties zullen deze moeten implementeren. Daarnaast wordt, naar verwachting eind 2019 ook de standaard ISO 27552 geïntroduceerd, dé standaard voor Privacy Information Management. Kortom, het wordt een druk jaar waarin organisatie geconfronteerd worden met nieuwe standaarden die impact gaan hebben op de bedrijfsvoering.
Privacy én beveiliging = gegevensbescherming
Het voldoen aan de verplichtingen uit de AVG hangt natuurlijk nauw samen met het beveiligen van persoonsgegevens. Maar, de AVG gaat natuurlijk over meer dan alleen beveiliging, denk o.a. aan de verplichting om een Functionaris voor Gegevensbescherming aan te stellen, het bijhouden van een register van verwerkingsactiviteiten, het inrichten van de rechten van betrokkenen (informatieplicht) en het uitvoeren van Data Protection Impact Assessments.
Naast deze iets bekendere thema’s uit de AVG is het thema beveiliging ook cruciaal. Het is een element waar de toezichthouder zich best weleens op zou kunnen gaan focussen. De AVG omschrijft beveiliging als het nemen van ‘passende technische en organisatorische maatregelen’, maar is hierin vaag en geeft hier niet echt concrete invulling aan. Voor de concrete invulling wordt verwezen naar bestaande normeringen. Denk aan de algemene (kwaliteit) standaard, ISO9001 en meer specifiek de informatiebeveiligingsstandaarden ISO27001/27002. Op de 27001 en 27002 standaarden zijn de specifieke (sectorale) normen gefundeerd. Zo kennen we binnen de zorg de NEN7510 en voor de overheid zal binnenkort de nieuwe Baseline Informatiebeveiliging Overheid (BIO) van kracht zijn. De BIO vervangt vanaf 1 januari 2020 de huidige standaarden voor beveiliging; de Baseline Informatiebeveiliging Rijksdienst, Baseline Informatiebeveiliging Waterschappen en de Interprovinciale Baseline Informatiebeveiliging. 2019 in een zogenaamd overgangsjaar waarin organisaties de gelegenheid krijgen zich op deze nieuwe standaard voor te bereiden.
Privacy en beveiliging kunnen in mijn optiek dan ook niet los van elkaar gezien worden en het hanteren van een integrale benadering is daarom essentieel. Het gaat om gegevensbescherming in de breedste zin van het woord.
Zonder (al te veel) groeipijn volwassen worden
Zo’n integrale benadering vinden organisaties vaak moeilijk en complex. Hoe integreer je de juridisch getinte AVG met ICT? Maar, juist omdat het beschermen van (persoons)gegevens, en het voldoen aan de AVG, nog in de kinderschoenen staat biedt het kansen. De oude Wet bescherming persoonsgegevens bestaat als sinds 2000 maar veel organisaties zijn pas sinds vorig jaar écht concreet aan de slag gegaan met het thema privacy. Juist omdat het nog in de kinderschoenen staat is een integrale benadering nu goed te realiseren. Benader privacy als apart project, maar haak zoveel mogelijk aan bij bestaande richtlijnen, procedures en processen. Privacy is nog een onvolwassen vakgebied en binnen een groot aantal organisaties is voldoende ruimte voor de groei van puber naar een volwassene. Hoe zorg je als organisatie dat je zonder al te veel groeipijn volwassen wordt?
Het Capability Maturity Model (CMM) is één van de manieren om een beeld te krijgen van de volwassenheid van een organisatie. Dit model bestaat uit 5 niveaus, van de baby-fase tot volwassene. De baby-fase is de periode waarin processen en verantwoordelijkheden nog niet zijn gedefinieerd en slecht beheersbaar zijn. De organisatie lost problemen op als ze zich voordoen. In de kleuterfase beschikt de organisatie over algemeen beleid voor belangrijke delen maar is dit niet formeel vastgelegd. Er zijn beheersmaatregelen, maar de organisatie heeft risico’s niet overal afgedekt en gedocumenteerd. Als puber heeft de organisatie de belangrijkste processen gestandaardiseerd, gedefinieerd en voorzien van bijpassende beheersmaatregelen. Procesverbetering vindt plaats op basis van een kwalitatieve analyse. De adolescent-fase kenmerkt zich doordat het beleid wordt gedragen door de organisatie en de bevoegdheden zijn belegd. Er is een hoge awareness en er vindt bijsturing plaats van beheersmaatregelen op basis van periodieke kwalitatieve analyse en evaluaties. Als volwassen organisatie wordt het beleid tot het op het laagste niveau correct geïnterpreteerd en uitgevoerd. De systematische procesverbetering op basis van metingen is onderdeel geworden van bedrijfsvoering.
Mijn indruk is dat veel organisaties op dit moment nog in de baby of kleuterfase zitten en nog niet volwassen zijn op het gebied van gegevensbescherming. Dit is begrijpelijk, vooral omdat de AVG nog nieuw is en nog niet op alle fronten is uitgekristalliseerd. Cruciale vraag is dus, op welk niveau zit jouw organisatie op het gebied van gegevensbescherming? In deel twee van dit blog ga ik concreter in op de verschillende volwassenheidsfasen en beantwoord ik de vraag; hoe groei je van de baby-fase naar een volwassene zonder al te veel groeipijn?