Privacy > (groter dan) Security? | Taco Hettema

Met de handhaving van de Algemene Verordening Gegevensbescherming (AVG) in zicht (25 mei) wordt er heel veel geschreven, getraind, gelezen, gediscussieerd over de impact daarvan, met name de impact daarvan op bedrijven. Met het zwaard van Damocles aan boetes (tot wel 20 miljoen of 4% van de omzet per overtreding!) boven het hoofd worden de businesscases anders dan dat ze onder de Wet Bescherming Persoonsgegevens waren.

Ik ben geen Jurist, dus zie mijn verhaal niet als een feit. Al heb ik wel een sterke security-achtergrond en een sterke mening ?.

Wat ik zie is dat juristen worstelen met de uitleg van de AVG en dat er nogal wat ruimte voor interpretatie zit. Even terug naar de basis van beveiliging, de beveiligingsdriehoek die gaat over Beschikbaarheid, Integriteit en Vertrouwelijkheid (of de CIA), op basis waarvan data geclassificeerd wordt en op basis waarvan maatregelen genomen worden. Waar in die onderdelen zit dan Privacy? Wat mij betreft met name in Integriteit (juistheid) en Vertrouwelijkheid (afscherming) van data. Het gaat om de beveiliging van data, dus op welke manier breng ik dan ik kaart wat de waarde van mijn data is en welke maatregelen ga ik nemen om de “beveiliging” van die data te waarborgen. Ook bij klassieke security zit dit in verschillende onderdelen, van fysieke beveiliging tot organisatorische maatregelen, maar zeker ook technische maatregelen (denk aan bijvoorbeeld encryptie). Het privacy vraagstuk zorgt ervoor dat de data op een andere manier geclassificeerd gaat worden, persoonsgegevens zijn meer waard geworden, georganiseerde digitale criminaliteit steelt en verhandelt persoonsgegevens én het is een stuk duurder geworden wanneer je persoonsgegevens niet goed beschermt.

Bewaren in back-ups en restores?

Toch nog even naar de stuk over Beschikbaarheid. Een van de onderdelen van de AVG is het recht om vergeten te worden, een van lastigste onderwerpen uit deze verordering. Waarom lastig? Sinds we data digitaal bewaren, en vanwege ondere belastingwetgeving ook moeten bewaren, zijn bedrijven bezig om data backup- en restore procedures en uitwijkmogelijkheden zo te maken dat ze voldoen aan die wetgeving en ook invulling geven aan hun Business Continuity proces. Opruimen en weggooien van Data is bij heel veel bedrijven bijzonder lastig (en gebeurt ook nauwelijks structureel). Nu zegt de AVG dat personen het recht hebben om vergeten te worden! Dat vereist op een andere manier tegen data aankijken, welke data moet en mag ik bewaren (want de belastingwet gaat boven de AVG) en hoe lang. Het inrichten van processen en bijbehorende tooling en technieken is een hele uitdaging! Ook hier zou encryptie (de persoonsgegevens versleutelen en op een zeker moment de sleutel weggooien) overigens een optie kunnen zijn, dus niet voor vertrouwelijkheid en integriteit, maar juist om te garanderen dat gegevens niet meer beschikbaar zijn!

AVG versus security

Ik zie dat er nu zo veel aandacht is voor de AVG dat er alleen nog maar aandacht is voor het privacy stuk en dat het risico ontstaat dat dit helemaal los opgepakt wordt, los dus van de processen en maatregelen die aanwezig zijn. Op de korte termijn wellicht een manier om onder zware boetes uit te komen (als het al zo ver komt), op de lange termijn niet houdbaar. Wat dan wel? Laat je goed informeren, zorg dat je snapt wat de intentie van de AVG is, hoe deze te interpreteren, hoe dit toe te passen binnen je bedrijf en welke minimale stappen je moet nemen en welke minimale zaken je in moet richten.

Kennis en awareness

Zorg voor de juiste kennis en awareness (the biggest security hole is an open mouth), menselijk gedrag is nog steeds een hele belangrijke factor. Kijk daarna ook direct naar de implementatiekant. Hoe breng ik het risico in kaart (over welke gegevens in welke data heb ik het überhaupt), denk aan classificatie van data en dan aan de maatregelen die van toepassing zijn op die classes en borg dit in je organisatie. Natuurlijk komt er veel meer bij kijken, maar hou in de gaten hoe je aan kunt sluiten bij bestaande processen en maatregelen, pak het niet aan als een losstaand probleem.

Aanbod in security trainingen

CEO fraude; de schrik van iedere CEO, ook van mij om eerlijk te zijn. Derden proberen immers geld van je te stelen en in security is de mens nu eenmaal altijd de zwakste schakel. En de menselijke kant, ja, veel aandacht voor softskills trainingen en veranderende organisaties, dus volg ons om up-to-date te blijven.

Taco Hettema

Direct contact? Bel ons gerust op tel: 088-5427848 of mail naar info@vijfhart.nl
Taco Hettema, Chief Technology Officer @Vijfhart

Onderwerpen
Actieve filters: Wis alle filters
Pageloader
PRIVACY VOORWAARDEN

Jouw persoonsgegevens worden opgenomen in onze beschermde database en worden niet aan derden verstrekt. Je stemt hiermee in dat wij jou van onze aanbiedingen op de hoogte houden. In al onze correspondentie zit een afmeldmogelijkheid