AVG en informatiebeveiliging als business drivers

Zie ook de originele publicatie op Brabant in Business

Met de komst van clouddiensten in combinatie met on-premise applicaties en systemen die bij een organisatie in huis staan, apps op mobiele devices, samenwerkingsverbanden, wetgeving (zoals bijvoorbeeld de Wet Open Overheid) en nieuwe technologie (Artificial Intelligence, Machine Learning en Deep Fake) wordt het gebruik van data steeds belangrijker. Niet alleen het beschermen maar ook transparantie over het gebruik is daarbij van belang. Beschermen als het moet en delen als het kan of nodig is, wordt voor een klant of inwoner van een stad steeds belangrijker. Weet ik als individu hoe mijn data wordt gebruikt en kan ik daar inzicht in krijgen? In hoeverre kan ik er nog op vertrouwen dat mijn data bij bedrijven, multinationals en overheden veilig is? Wat als mijn data toch in verkeerde handen valt, wat kan ik dan nog doen?  

Het slim inzetten van data kan uw onderneming helpen bij het nemen van de juiste strategische beslissingen. Bijvoorbeeld het kunnen voorspellen van business drivers en optimalisatie van processen. Het gebruik van die data mag natuurlijk nooit ten koste gaan van het individu. Als een klant of inwoner geen vertrouwen heeft in een bedrijf of overheid, zullen zij juist proberen IT-diensten te vermijden als dat kan terwijl direct contact met medewerkers steeds moeilijker wordt omdat de huidige infrastructuur daar steeds minder op ingericht is.  

Met data kan je als onderneming veel voordeel behalen door een product of dienst onder de aandacht te brengen en handelingen te meten. Dat gebeurt in sommige gevallen met het verwerken van persoonsgegevens van derden, op voorwaarde dat daar een wettelijke grondslag voor is. Echter, steeds vaker worden deze gegevens bewust of onbewust gedeeld zonder grondslag terwijl we juist de Algemene Verordening Gegevensbescherming hebben. Deze wet legt regels vast hoe er met (gevoelige en bijzondere) persoonsgegevens moet worden omgegaan.  

Maar hoe borg je dit binnen een organisatie op de juiste wijze? Wat is toegestaan en wat niet? Maaike Werson heeft zich met haar bedrijf PrivseQ B.V. (www.privseq.nl) verder gespecialiseerd in het op pragmatische wijze omgaan met persoonsgegevens op het snijvlak van beveiliging, wet- en regelgeving en compliance waarbij zij steeds de afweging maakt welke kansen de AVG kan bieden in plaats van het focussen op de verplichtingen en boetes die er mogelijk mee gepaard kunnen gaan.  

Controle met behulp van een managementsysteem 
Is het wel mogelijk om 100% compliant te zijn aan de AVG en andere wetgeving? Of daarbij 0% risico te lopen en daarbij 100% de belangen van het individu na te streven? Het antwoord hierop is natuurlijk “nee”.  

Maaike: “De AVG wordt in veel gevallen geassocieerd met boetes en de verplichting om aan de verordening te voldoen. En hoewel dit natuurlijk aspecten zijn die je als ondernemer niet uit het oog moet verliezen, wil ik benadrukken dat het op een gecontroleerde wijze implementeren van de AVG in combinatie met een professionele inzet op het gebied van cybersecurity je ook veel meer zal brengen.”  

Wie als bedrijf of (lokale) overheid zijn zaken op orde heeft, straalt vertrouwen en zelfbewustzijn uit. Richting medewerkers, klanten, inwoners, leveranciers, en partners of als er sprake is van een vertrouwensband via gemeenschappelijke regelingen. Hiermee wordt het signaal afgegeven dat men in control is en dat komt in deze tijden van verregaande digitalisering de concurrentiepositie onherroepelijk ten goede. 

In de figuur hieronder is weergegeven hoe men op het snijvlak van compliance, risico en wetgeving in relatie tot het individu met behulp van monitoring en rapportagetechnieken de balans kan vinden en continu te kunnen verbeteren om “In Control” te zijn en te blijven.  

Vertrouwen versterkt   
“Vertrouwen komt te voet en gaat te paard, als je bovenstaand systeem onvoldoende hebt ingericht. Wie negatief in het nieuws komt omdat er een datalek is geconstateerd of te maken heeft gekregen met andere vormen van security incidenten zoals ransomware heeft wat uit te leggen. Natuurlijk kan iedereen dit overkomen, maar als je dan niet kan uitleggen hoe het is ontstaan en welke maatregelen je al hebt genomen om de schade te beperken en dit in de toekomst te voorkomen, dan kan al snel een beeld ontstaan van een onderneming, welke haar verantwoordelijkheid niet of niet voldoende heeft genomen. Soms is dat het geval. Maar evenzo vaak is het zo dat onbevoegden een opening vinden in de beveiliging.  

Helaas ligt daar vaak onvoldoende aandacht voor medewerkers (awareness), te weinig onderlinge samenwerking of een tekort aan draagvlak vanuit het management aan ten grondslag. Een professor van de VU Amsterdam zei eens: “Wie is de grootste dreiging voor een hack? Is dat de hacker of is dat het management? “  

Het effectief implementeren van maatregelen kan enerzijds meer en meer worden uitgevoerd door inzet van slimme technologie en anderzijds door bewustwording van medewerkers en partners van de mogelijke risico’s.  

Dat menselijke aspect is ook een belangrijk onderdeel van mijn aanpak. Het is mijn taak om medewerkers intrinsiek te motiveren om een belangrijke bijdrage te leveren aan het voldoen van de wet, doordat het hen gaat helpen hun werk naar een hoger niveau te tillen en vooral leuker te maken. Verder geeft dit rust en vertrouwen op de werkvloer en daarbij geef je een positief signaal af aan alle stakeholders.” 

Sterke concurrentiepositie dankzij AVG 
“Een professionele inrichting van de AVG zorgt voor vertrouwen van de klant en versterkt de positie van de onderneming of overheid. Niet in de laatste plaats omdat het vaak bijdraagt aan het verbeteren van de bedrijfsprocessen. Vaak zie je dat er door een AVG-implementatie een efficiencyslag wordt behaald op bestaande processen en procedures. Denk daarbij aan licentiebeheer van software waarmee een behoorlijke kostenbesparing kan worden behaald. Natuurlijk kan een AVG-implementatie tevens een bevestiging zijn van een goede inrichting. In beide gevallen weet je dat alle seinen op groen staan om je klanten optimaal te kunnen bedienen. Veilig en vertrouwd met de nadruk op kwaliteit. Dankzij een kwalitatieve inrichting van de AVG met aandacht voor security. PrivseQ; Privacy, Security en Quality reinvented!” 

Ben je nieuwsgierig geworden naar aanleiding van dit artikel?

Neem contact op met Maaike Werson, Eigenaar van PrivseQ B.V. Zij staat u graag te woord via telefoonnummer 06 185 263 08 of via email op info@privseq.nl