Inzicht in data als eerste stap naar effectieve privacy en security

Privacy en Security: Privacy professionals staan aan de lat om dataprotectie en informatiebeveiliging effectief te combineren. Het succes staat of valt met inzicht in alle datastromen in een organisatie, zegt Stijn Boonstra van OneTrust.

 

Afweging privacy en security

“In de eerste jaren van het millennium maakten consumenten keuzes op basis van afwegingen over prijs en kwaliteit. Later ging ook de beleving een rol spelen. Nu zijn vertrouwen en transparantie daarbij gekomen. Dat vereist een zorgvuldige omgang met informatie”, signaleert Stijn Boonstra, privacy consultant van de internationale softwareonderneming OneTrust. “Een goede bescherming van data is dan ook voor veel directies een topprioriteit geworden. Dataprotectie is van toegevoegde waarde voor klanten én medewerkers.”

De huidige digitale transformatie betekent dat organisaties veel voordelen kunnen ervaren van het gebruik én de bescherming van data, zegt Boonstra. “Pas als je weet welke data je in huis hebt, kan je informatie ook goed beschermen. Dat verkleint het risico op reputatieschade door datalekken en vergroot de mogelijkheden om naar klanten toe transparant te zijn over gegevensverwerkingen. Het is dan wel belangrijk dat verschillende afdelingen – van teams die zich bezighouden met marketing en compliance tot en met de privacy- en securityspecialisten – goed samenwerken aan de data governance. Dat heeft trouwens ook extra voordelen, zoals de optimalisatie van processen en een hogere datakwaliteit.”

Integrale oplossingen

Het software platform van OneTrust is opgebouwd uit verschillende apps en modules, en integreert oplossingen voor onder meer privacy, security, ethiek en data governance. Boonstra: “De integratie van privacy en security is een eerste stap om op een verantwoorde manier meer te doen met data. Wetgeving zoals de Algemene verordening gegevensbescherming (AVG) heeft veel organisaties gestimuleerd om data management onder de loep te nemen. Dat gaat veel verder dan de opslag en beveiliging van persoonsgegevens. Het gaat om inzicht in alle datastromen in de organisatie.”

“Privacyteams zijn sinds de komst van de AVG aan zet om een leidende positie te nemen in het data management”, constateert Boonstra. “Een van de grote uitdagingen is om steeds zicht te houden op de informatie in de organisatie, zodat vervolgens de juiste maatregelen voor bescherming en beveiliging van data kunnen worden gekozen. Omdat we door COVID-19 steeds meer zijn gaan thuiswerken, hebben veel organisaties een snelle digitale transformatie doorgemaakt. Maar door de uiteenlopende systemen, tools en applicaties die worden gebruikt, is informatie op allerlei plekken opgeslagen – en toegankelijk voor professionals met verschillende autorisaties. Dat maakt inzicht in de datastromen een essentiële voorwaarde voor AVG-compliance.”

Context van datagebruik

Voor privacy officers in grote organisaties is het vaak ingewikkeld om tot een integraal beheer van persoonsgegevens te komen. “Allereerst moet je de context van datagebruik in de gehele organisatie kennen. Er worden nu eenmaal in allerlei afdelingen persoonsgegevens verwerkt, vaak met verschillende doelen, grondslagen, verantwoordelijken, verwerkers en doorgiften. Vervolgens moet privacy een integraal onderdeel worden van de vele processen en activiteiten die gebruik maken van persoonsgegevens. Dat betekent onder andere dat de directie commitment toont voor dataprotectie, en voldoende budget en hulpmiddelen beschikbaar stelt om privacy te managen.”

Boonstra leidde tijdens de recente CDPO Actualiteiten- en netwerkdag van IIR een sessie over de samenwerking tussen privacy en security. “De samenwerking tussen de disciplines ligt voor de hand, omdat de risico’s zijn met elkaar verbonden. Denk aan datalekken, die te maken hebben met dataprotectie én informatiebeveiliging. Een geïntegreerd systeem dat de verschillende teams actueel inzicht geeft in datastromen ondersteunt en vereenvoudigt de vereiste samenwerking tussen privacy en security.”

Monitor de gegevensverwerkingen, let op leveranciers die met persoonsgegevens te maken hebben, en betrek medewerkers bij privacy en security, adviseert Boonstra. “Zorg dat je de risico’s kent en als team samenwerkt aan passende maatregelen. Een platform zoals OneTrust geeft je een snel overzicht in datastromen én maakt het voor collega’s makkelijk om informatie aan te leveren als er inzageverzoeken binnenkomen.”

Mogelijkheden en risico’s

Draagvlak voor dataprotectie en awareness van de noodzaak om de risico’s te managen zijn volgens Boonstra belangrijke succesfactoren voor privacyprofessionals. “Als je inzicht hebt in de mogelijkheden en risico’s van gegevensverwerkingen kan je de directie duidelijk maken hoe belangrijk dataprotectie is. De vervolgstap is om de balans te vinden tussen datagebruik en gegevensbescherming. Met een intelligente omgang met data is er vaak veel meer mogelijk dan wordt gedacht, en haalt de organisatie de juiste waarde uit persoonsgegevens. Zo combineer je AVG-compliance met een optimaal gebruik van data – en dan werk je echt aan het vertrouwen in de organisatie.”

Aan de slag met een gecombineerde aanpak van privacy- en securityrisico’s? Volg de opleiding Certified Data Protection Officer (CDPO).

Share