Datamanagement verschilt in de basis weinig van het veilig opbergen van sieraden of geld. Beide zijn een kwestie van het reguleren van toegang tot zaken van waarde, met als doel dat de juiste personen erbij kunnen en anderen niet. Met die uitdaging hebben bedrijven dagelijks te maken bij het verzamelen, opslaan en gebruiken van data. En dankzij de invoering van de Algemene verordening gegevensbescherming (AVG) mei vorig jaar, liggen de keuzes van ieder bedrijf onder een vergrootglas.

“Alle bedrijven verdienen het om van de AVG-uitdaging een AVG-succes te maken.”

“Alle bedrijven verdienen het om van de AVGuitdaging een AVG-succes te maken”, meent Romeo Kadir, Chairman GDPR Certification Committee bij de European Association of Data Protection Professionals. Gevraagd wat die uitdaging nu werkelijk inhoudt, komen er termen voorbij als privacy by design, DPIA, pen-testen, security metrics, datamodellen en metadata. Kadir geeft toe dat het wellicht ingewikkeld klinkt, maar stelt dat bij een correcte begripsvorming en juiste aanpak AVG-compliance dit niet hoeft te zijn. Hij adviseert dan ook te waken voor consultants die middels onjuiste informatieverstrekking aan bangmakerij doen en in plaats daarvan te focussen op hoe de AVG kan bijdragen aan het behalen van bedrijfsdoelen.

Return on investment

De wetgeving is er immers niet om bedrijven het leven zuur te maken. “Gelet op de toenemende invloed van het bedrijfsleven in het maatschappelijk verkeer, neemt ook de verantwoordelijkheid van bedrijven toe voor een goede naleving van privacyrechten van burgers”, legt Kadir uit. De AVG is een maatschappelijk instrument dat bedrijven hierbij helpt. Zo is een van de vereisten een overzicht van alle verwerkingen van persoonsgegevens binnen een bedrijf; een uitstekend startpunt voor een beter databeleid. Want wanneer men beschikt over een lijst met alle verwerkte gegevens en het beoogde doel daarbij, is goed te beoordelen hoe nuttig of noodzakelijk de opslag van deze gegevens daadwerkelijk is, vindt ook Bart Jacobs, hoogleraar Digital Security aan de Radboud Universiteit Nijmegen. Het is de eerste stap naar dataminimalisatie: het enkel verwerken van die gegevens die nodig zijn om het beoogde doel te bereiken. Dat is niet alleen prettig voor consumenten vanuit een privacy-oogpunt, maar kan ook bijdragen aan die eerdergenoemde bedrijfsdoelen, bijvoorbeeld middels een efficiëntieslag. Alle gegevens waar niets mee gebeurt omdat ze geen doel dienen, hoeven immers niet langer opgeslagen, gerapporteerd en beveiligd te worden.

Efficiëntie is slechts een van de in totaal zes kwantifi- ceerbare mogelijke opbrengsten die AVG-compliance bedrijven kan brengen, stelt Kadir. Hij legt uit dat men wat betreft return on investment minimaal zes niveaus kan onderscheiden:

  • People – het naleven van de AVG-beginselen schept duidelijkheid voor personeel
  • Process – bedrijfsprocessen worden efficiënter
  • Performance – de klantbeleving wordt vergroot
  • Profit – meer winst door minder boetes en dwangsommen
  • Perception – een betere bedrijfsreputatie
  • Promoting risk data management – beter beheersen van onnodige risico’s rondom het opslaan van (te veel) data

Eerste stap

Dat organisaties ondanks de mogelijkheden zuchten onder de hoeveelheid werk die de AVG met zich meebrengt, vindt Jacobs wel begrijpelijk. “Maar ze hebben het wel vijf jaar lang kunnen zien aankomen”, relativeert hij. Voor MKB’ers die desondanks nog steeds niet weten waar te beginnen, heeft de overheid basisregels opgesteld waar men minimaal aan zou moeten voldoen. Petra Oldengarm, directeur van brancheorganisatie Cyberveilig Nederland, adviseert om als allereerste stap altijd een risicoanalyse te (laten) doen. “Je kunt financieel leeglopen op databeveiligingskosten. Het is belangrijk om de investering af te laten hangen van de risico’s die je daadwerkelijk loopt en welke je bereid bent te nemen.” Die bereidheid zal afhangen van de assets – de zaken van waarde – waar een bedrijf afhankelijk van is. Hoe erg is het als de gegevens tijdelijk niet beschikbaar zijn? Hoe erg is het als gegevens ten onrechte worden gewijzigd? En tot slot, wat als gegevens gelekt worden?

Een dergelijk inzicht in het risicoprofiel van het bedrijf is waardevolle kennis. De huidige ontwikkeling van een breed gedragen risico-classificatiemodel moet bedrijven assisteren bij het bepalen van de bedrijfsrisico’s en daarbij behorende minimale maatregelen, vertelt Oldengarm. Diverse organisaties, waaronder Cyber- veilig Nederland, werken hier momenteel samen aan. Dat levert in het ideale geval een situatie op waarin ieder bedrijf zich voldoende beveiligt, maar niet meer uitgeeft dan nodig. Een kleiner bedrijf met een lager risicoprofiel zou bijvoorbeeld kunnen volstaan met het regelmatig uitvoeren van penetratietesten, terwijl een ziekenhuis een eigen full time security officer nodig kan hebben die de informatiebeveiliging bewaakt. Wanneer duidelijk is welke maatregelen een bedrijf zou moeten nemen, kan men ook toetsen of dit gebeurt. Oldengarm: “Bedrijven die zich goed beveiligd hebben moeten dat kunnen aangeven naar klanten toe. We werken momenteel met veel partijen samen om een dergelijk certificeringssysteem op te zetten.” Tegelijkertijd wordt er ook gesproken over certificering voor de andere kant van de markt, zodat dienstverleners zich middels een keurmerk kunnen onderscheiden.

Brandkast

Hoewel de risico’s voor ieder bedrijf zullen verschillen, draait databeveiliging volgens Oldengarm altijd om kwetsbaarheden rondom technologie, processen en menselijk handelen. De veelgehoorde uitspraak dat de mens de zwakste schakel is, vindt ze dan ook te kort door de bocht. “Natuurlijk is menselijk gedrag een zwakke schakel, maar het is een combinatie. Neem de technologie die systemen moet beveiligen: hier moet altijd een ingang in zitten, anders kunnen legitieme gebruikers er niet bij.” Een dergelijke ingang is noodzakelijk, maar zal kwetsbaar zijn voor hackers. Om even terug te gaan naar de vergelijking met fysieke kostbaarheden: “Je kunt het in een brandkast stoppen en die in zee storten; dan is het goed beschermd. Maar dan heb je het ook heel moeilijk gemaakt om er zelf bij te komen”, aldus Jacobs.

Om organisaties te helpen bij het beveiligen van de technologie en processen, zou Oldengarm graag zien dat IT-bedrijven meer verantwoordelijkheid nemen voor de veiligheid van de systemen die ze ontwikkelen. Dat gebeurt nu nog te weinig, zegt ze, waardoor veel niet inherent veilig wordt ontwikkeld. “Ze hebben een zorgplicht, maar beveiliging komt vaak pas te laat in het proces in beeld. Dit zou vanaf het eerste ontwerp onderdeel moeten zijn van de ontwikkeling van nieuwe producten en diensten.”

“Beveiliging komt vaak pas te laat in het proces in beeld.”

Waarden

Onder druk van de AVG zijn bedrijven zich meer bewust geworden van het risico dat het opslaan van informatie over consumenten met zich meebrengt. Consumenten staan op hun beurt steeds vaker stil bij de hoeveelheid informatie die ze afstaan. De wetgeving dwingt beide partijen na te denken over de waarde van data, het belang van privacy en een balans tussen de twee. Kadir: “In dat opzicht is de AVG een instrument waarmee we als samenleving nadruk leggen op sociaalmaatschappelijke waarden waaraan men – ook in een digitaliserende samenleving – en blijft hechten.”