Meer aandacht voor privacy

Geschreven door William van Grieken op 19-02-2016


Bent u een informatieprofessional? Dan kan het u niet ontgaan zijn dat per 1 januari 2016 de ‘meldplicht datalekken’ in werking is getreden. Consequentie van deze meldplicht is dat (overheids)organisaties direct melding moeten doen bij de Autoriteit Persoonsgegevens, indien inbreuk is gemaakt op persoonsgegevens. In bepaalde gevallen moet een datalek worden gemeld aan direct betrokkenen, ofwel aan u als burger of aan andere bedrijven.

Doet u dit niet dan heeft de privacy toezichthouder sinds 1 januari 2016 de bevoegdheid boetes op te leggen. Dit kan bijvoorbeeld wanneer persoonsgegevens langer worden bewaard dan toegestaan, onzorgvuldig worden beveiligd of verwerkt. Deze boetes zijn niet mals. Daarmee is de vrijblijvendheid er echt af en wordt privacybescherming steeds belangrijker. De privacywetgeving beweegt dus daar in mee.

VingerafdrukkenVoorgaande kan niet los worden gezien van het toenemende gebruik van internet en social media, waarbij het aantal beveiligings- en privacy incidenten is toegenomen en ook steeds meer aandacht krijgt in de pers. In hoeverre deze meldplicht echt bijdraagt aan een betere beveiliging van gegevens moet nog worden bezien. Daar is het nog te vroeg voor.

Ik zie wel steeds meer opdrachtgevers de daad bij het woord voegen als het gaat om privacybescherming. De soms laconieke houding dat alles goed geregeld is, maakt plaats voor meer awareness voor het vraagstuk en dan met name de negatieve gevolgen ervan als het fout gaat.

Bij een van mijn recente opdrachten ben ik in aanraking gekomen met een Privacy Impact Assessment (ook wel PIA). Een PIA is een informatiebeveiligingsactiviteit om privacy risico’s (van een verandering) op gestructureerde en heldere wijze in kaart te brengen, en waar nodig gepaste maatregelen te treffen om deze risico’s te minimaliseren of zelfs weg te nemen.

Dit betekent concreet dat ieder project, vooronderzoek of een niet-standaard change (ten aanzien van een informatiesysteem), bij deze klant onderworpen dient te worden aan een assessment. Om het belang er van te duiden zijn er interne toezichters aangesteld die de correcte uitvoering van een PIA monitoren. Het positief afronden van een PIA is uiteindelijk ook een acceptatiecriteria bij het in beheer nemen van een afgerond traject.

De kracht van de PIA zoals doorlopen, zit in de gestructureerde en handzame aanpak. Aan de hand van een PIA check wordt in eerste instantie een korte toets gedaan of überhaupt sprake is van het verwerken van persoonsgegevens. Op basis van een aantal concrete vragen wordt de impact inzichtelijk gemaakt en wordt de juiste vervolgstap in het PIA proces bepaald. In ons geval is vanwege een verhoogd risico een PIA workshop verzorgd aan een groep domeinspecialisten en stakeholders uit  de organisatie.

Aan de hand van een uitgebreide vragenlijst (met circa 70 vragen) is in de workshop dieper ingezoomd op zaken als: het traject, de classificatie van gegevens, de wijze waarop gegevens verzameld, gebruikt, vernietigd of bewaard worden en de betrokken (externe) partijen die een rol spelen bij de verwerking. Per vraag worden de risico’s bepaald en eventuele - organisatorische en/of technische - tegenmaatregelen getroffen. De maatregelen zijn vervolgens omgezet naar een concrete actielijst.

Ondanks dat er behoorlijk wat werk is gaan zitten in deze hele exercitie, ben ik achteraf gezien positief gestemd. Een PIA is een goed instrument om serieus naar privacy aspecten te kijken binnen een project. Eventuele blinde vlekken worden geïdentificeerd door in breder verband naar potentiële risico’s te kijken. Een workshop zorgt naast een gezonde open discussie voor meer betrokkenheid bij het vraagstuk.

………en zoals wel vaker van belang bij het starten van een project: bezint eer gij begint, zeker als het om privacy gaat.


Labels: innoviq, datalekken, pia, privacy, project