Blogs

Waarom gaat goede gegevensbescherming over meer dan privacy?

Waarom gaat goede gegevensbescherming over meer dan privacy?

Privacy – bescherming van persoonsgegevens – wordt vaak op één lijn gezet met gegevensbescherming. ‘Dat is niet helemaal terecht’, zegt Privacy & Compliance Officer Paul Schokker van Docspro. ‘Maar dat ze onlosmakelijk met elkaar verbonden zijn is wel duidelijk.’

Gegevensbescherming is namelijk veel breder dan alleen de bescherming van die ‘tot personen herleidbare informatie’ die de privacy van individuele mensen aangaat. Voor een bedrijf is het minstens zo belangrijk dat bijvoorbeeld financiële gegevens, personeelsdossiers of geheime recepturen beschermd worden. Als ik dan lees dat uit recent onderzoek blijkt dat bij een derde van de bedrijven informatie bij de verkeerde personen terecht komt doordat mensen niet de goede bijlagen bij hun mail doen (DocumentWereld, 17 mei 2022), dan is er nog wel wat werk aan de winkel’, constateert Paul.

Onderbelicht

Het is volgens hem belangrijk dat het management zich er meer van bewust wordt dat het beschermen van zowel belangrijke bedrijfsgegevens als persoonsgegevens cruciaal is om als een betrouwbare partner te worden gezien. Paul zegt hierover: ‘Die bewustwording zou er inmiddels toch al moeten zijn zou je denken, maar dat blijkt in de praktijk toch een weerbarstig fenomeen. De wetgeving omtrent de Algemene verordening gegevensbescherming (Avg) is per 25 mei alweer vier jaar van kracht, maar het is en blijft bij veel organisaties een onderbelicht onderwerp: de aandacht is weer wat weggeëbd en er is geen budget beschikbaar om het goed te regelen.’

Investeringen, maar ook rendement

Veiligheid van informatie vraagt om structurele aandacht en investeringen. Paul: ‘Maar zoals wel vaker in het verleden is gebleken: dit soort investeringen in IT wordt al snel gezien als ‘vervelende kostenpost’, terwijl de schade die je achteraf kunt oplopen vele malen groter is dan de investeringen die je vooraf doet. Bovendien, een adequate bescherming van je bedrijfsgegevens levert ook geld op. Om die bescherming te optimaliseren moet je namelijk inzicht krijgen in welke informatie waar is, wat ermee gebeurt, wie erbij betrokken is en waarom je die informatie eigenlijk nog (nodig) hebt. Bij een juiste inventarisatie maak je duidelijk waar processen kunnen worden aangepast en verbeterd. De hele interne organisatie komt daarmee op een hoger niveau. Dat levert direct inzichten en besparingen op die je anders nooit zou hebben gerealiseerd. Nog los van de kwaliteitsverbetering in je processen. Het zijn dus niet alleen maar kosten. Er is wel degelijk ook rendement te halen uit een goede infrastructuur voor je gegevensbescherming.’

Wat voor partner wil je zijn?

‘Het gaat er naar mijn idee vooral om hoe je je als organisatie wilt profileren. Wat voor partner wil je zijn? Je wilt betrouwbaarheid uitstralen maar die betrouwbaarheid moet dan toch aantoonbaar zijn? Transparantie en betrouwbaarheid zijn twee belangrijke onderscheidende factoren voor (toekomstige) zakenpartners of klanten: zij willen weten hoe jij met de gegevens omgaat die zij aanleveren en die jij voor ze verwerkt in specifieke processen. Weet jij zeker hoe dat zit bij jouw cloud leverancier? Waar worden die gegevens eigenlijk opgeslagen? Welke wetgeving geldt daarvoor? Je kunt en mag daar naar vragen, maar wie doet dat? Bovendien geldt dat, net als bij je belastingaangifte, jij uiteindelijk zelf verantwoordelijk – en aansprakelijk – bent en blijft, ook als je je processen en informatie hebt ondergebracht bij een gespecialiseerde dienstenleverancier in de cloud… Dan wil je er toch in ieder geval alles aan hebben gedaan om erachter te komen hoe zo’n partij omgaat met jouw gegevens? Het is soms complexe materie, zeker als het gaat om internationaal opererende partijen, maar als je niet bereid bent om daar voldoende aandacht aan te geven dan gaat het een keer mis. Dan is de schade niet te overzien…’, denkt Paul.

Budgetten

Volgens de compliance officer zijn veel bedrijven en organisaties zich te weinig bewust van de gevaren die schuilen in een onvoldoende gegevensbescherming. ‘Er wordt simpelweg te weinig budget beschikbaar gesteld omdat het geen onderdeel is van de kerntaken van de organisatie. Minimaal 10% van het IT-budget zou naar cybersecurity moeten gaan, de bescherming van belangrijke (bedrijfs)gegevens, omdat elke onderneming daar eigenlijk volledig afhankelijk van is. Zonder een actuele, correcte en legitieme informatievoorziening kun je niet opereren en komt de continuïteit in gevaar.’

Aantoonbare kennis en deskundigheid

Waar Paul, die zich voor Docspro dagelijks bezighoudt met privacy en compliancy, op hamert is de aantoonbaarheid van je betrouwbaarheid als organisatie waar het gaat om gegevensbescherming. ‘In het algemeen gaat het bij gegevensbescherming dus om veel meer dan alleen privacygevoelige gegevens. Het is een breed en divers spectrum aan gegevens, systemen en processen die binnen een organisatie cruciaal zijn. Daar moet je aantoonbaar goed mee omgaan. Een ISO 27001 certificering – met de juiste scope – vormt daarin een belangrijke schakel. Plus de juiste mensen met de vereiste kennis uiteraard. Binnen Docspro beschikken we over specialisten die van bepaalde onderwerpen binnen dit vakgebied alles weten. Zij kunnen je vertellen hoe je veilig en verantwoord kunt omgaan met deze zaken, zodat je dat ook je klanten en partners kunt laten zien: alles volledig transparant.’

Van Wob naar Woo

Daarnaast beschikt Docspro over de juiste tools om bijvoorbeeld gevoelige gegevens te ‘lakken’ (te anonimiseren) voor onbevoegde ogen. Nu de Wet Openbaarheid van Bestuur (Wob) is overgegaan in de Wet Open Overheid (Woo) is dat cruciaal: ‘Essentieel om aan de voorwaarden van de Woo te kunnen voldoen is dat informatie digitaal is en dat je processen, activiteiten en het beheer van die informatie zoveel mogelijk automatiseert. Een groot deel van die uitdaging kun je met geavanceerde softwaretools aanpakken’, ziet Paul. ‘Voor het (semi-)geautomatiseerd anonimiseren en beschermen van gevoelige gegevens hebben we bij Docspro onze eigen software-oplossing ontwikkeld. Deze is compliant met de Avg en ‘Common Ground’ principes en werkt in de cloud met moderne Kubernetes technologie’ wat het snel inzetbaar en schaalbaar maakt.

Alles draait dus om transparantie en verantwoording afleggen aan klanten, burgers en medewerkers. ‘Docspro heeft ervaring met deze trajecten en kan in een vroeg stadium al proactief meedenken over hoe je bepaalde uitdagingen aan moet pakken.’

Nu actie ondernemen

‘Je moet door die nieuwe wet als overheid nu op voorhand veel informatie openbaar maken, tenzij er een ander zwaarwegender belang geldt… Dat betekent dus dat informatie vanaf dag één al in een bepaald verwerkingsproces moet zijn opgenomen zodat deze openbaar en beschikbaar is voor belanghebbenden. Dat moet echter wel met inachtneming van de bescherming van tot personen herleidbare gegevens. Die mogen dan juist weer niet openbaar gemaakt worden. Deze kunnen worden afgelakt met onze anonimiseringssoftware.’

Naast software beschikt Docspro ook over kennis van bijvoorbeeld verwerkersovereenkomsten en modelcontracten voor gegevensuitwisseling met derde landen waarin duidelijk wordt waar welke verantwoordelijkheden zijn belegd en hoe daarmee om te gaan. Dat is dan weer belangrijk bijvoorbeeld in het geval van trans-Atlantische data-uitwisseling (denk aan bekende dienstenaanbieders die hun cloud datacenters – ook – buiten Europa hebben). Kortom, het wordt er allemaal niet makkelijker op. Wie nu niet adequaat handelt heeft daarom straks een serieus probleem. Eigenlijk nu al…’, besluit Paul met een waarschuwing.

Deel dit met vrienden!