Het verzamelen van privacygevoelige data is veel bedrijven niet vreemd. Het beoordelen en beveiligen van deze data laat echter veel te wensen over. Dit oordeelt adviesorganisatie Protivit op basis van een onderzoek onder it-bestuurders van multinationals.
Protiviti vroeg meer dan honderd cio's en professionals van multinationals naar hun databeleid. Meer dan 70 procent van de onderzochte bedrijven heeft een omzet van meer dan één miljard dollar. Een kwart van de cio's bij de onderzochte bedrijven kan niet het verschil duiden tussen privacygevoelige en overige data. Marcel Koers, senior manager bij Protiviti en specialist op het gebied van it-bveiliging en privacyvraagstukken, stelt dat de resultaten in Nederland vergelijkbaar zijn met de rest van de wereld.
Ruim twee derde van de bedrijven heeft beleid om data te classificeren en onderkent privacygevoelige data. De helft van deze bedrijven voert deze classificering ook daadwerkelijk uit. Koers: ‘Door de groei van online dienstverlening, de ontwikkeling van mobiele platformen en de opkomst van social media is het delen van persoonlijke informatie voor consumenten gewoon geworden. Bedrijven beschikken over meer privacygevoelige data dan voorheen en maken hier actief gebruik van in hun businessmodellen. Dit vraagt om een hoger bewustzijn bij het senior management van deze bedrijven'.
Verantwoordelijkheid
Koers stelt dat dit bewustzijn zich niet alleen moet richten op de beveiliging van data, maar juist ook in het gebruik van privacygevoelige data. ‘Een intensieve band met de consument brengt verantwoordelijkheid met zich mee. Zo is het verzamelen en verwerken van bijzondere persoonsgegevens, zoals godsdienst, ras en gezondheid, bij wet verboden.'
Volgens Koers bemoeilijkt Europa een goed databeleid. 'Multinationals hebben te maken met regelgeving uit verschillende landen, met specifieke vereisten. Het is dan bijna onmogelijk om een praktische invulling te geven aan privacywetgeving.' Hij pleit voor regelgeving op Europees niveau, waardoor handhaving en controle eenvoudiger wordt.
Volgens de Protiviti-manager is er sprake van een nieuwe realiteit in het beveiligen van data; de online ontwikkeling vraagt om verscherpte dijkbewaking. ‘Cybercrime is volwassen, internationaal en deinst nergens voor terug'. Bedrijven moeten investeren in het beveiligen van hun informatie, in het verscherpt uitvoeren van hun huidige beleid, maar ook in het opbouwen van aanvullende competenties zoals de inrichting van een security operations center (SOC). ‘De vraag is niet óf je gehackt wordt, maar wanneer? En als dit gebeurt, dan je moet klaar staan.'
“De vraag is niet óf je gehackt wordt, maar wanneer? En als dit gebeurt, dan je moet klaar staan”
Zeer valide opmerking. Veel organisaties lopen achter de feiten aan. En dit is ook te merken met alle berichtgeving in het nieuws.
Je zult verbaasd zijn wat een simpele google opdracht al vaak niet oplevert qua informatie.
Privacy is op veel vlakken nog ver te zoeken.
Waarom privacy, zeker in deze tijd, zo belangrijk is:
http://www.ikhebniksteverbergen.nl/
Ook hier komen we een zeer valide ‘ons bewustmakend’ artikel tegen. Even voor de goede orde.
– Informatie verplichting
Elke organisatie, behoudens overheidsinstanties, hebben de verplichting een ieder individueel SCHRIFTELIJKE toestemming te vragen om persoonlijke informatie in beheer te mogen nemen. Er is op dit moment geen enkele jurisprudentie die de sociale media, als voorbeeld, hiervan uit sluit.
Aanvullend hier is dat deze organisaties de wettelijke plicht hebben, indien men ‘registers’ aanlegt en onderhoud, dit te melden bij het CBP. Jammer dat we dat niet in het artikel terug vinden.
Nu is het grootste gevaar, lang leve een verenigd Europa, dat wij in Nederland, even als voorbeeld, geen privacy gevoelige informatie afstaan aan de VS. Iemand die ooit ergens is veroordeeld en het vliegtuig neemt naar de VS, kan rekenen dat die het eerste beste vliegtuig, op eigen kosten uiteraard, terug kan nemen. De EU verordonneert die verplichting wel want dat is iets wat Brussel met Washington heeft afgesproken.
U ziet dus dat hier al een gelegaliseerde flagrante schending van mensenrechten plaats vind waar in Nederland, althans door de overheid, niets aan wordt gedaan. Sterker, men is in Den Haag zelfs bezig meer bevoegdheden over te hevelen naar Brussel zodat de regering in de toekomst steeds minder zelf hoeft te beslissen. Men ziet wat dat betreft het grote gevaar van deze gang van zaken niet.
Vrij recentelijk hebben we het debacle van o.m. Diginotar mogen ervaren en nog wat meer recentelijk het gat in de systemen van VCD, waardoor plots bekend werd dat men op vrij eenvoudige wijze had tot de gezondheidsgegevens van meer dan 300.000 mensen. Ik wil hier meteen even wijzen op het grote gevaar van o.m. het EPD, waarvan nog steeds niet is geregeld wie wanneer en onder welke omstandigheden en reden toegang kan en mag krijgen tot persoonlijke gezondheidsgegegevens.
Terecht dat het artikel Multinationals aanhaalt waar het gaat om voeren van beleid t.a.v. persoonlijke gegevens. Helemaal juist is die stelling niet overigens. Immers, elke ‘affiliate’ is gehouden aan de wet en regelgeving van het land van fysieke vestiging.
Ook hier doet men er bijzonder goed aan, en dit meer naar overheden in het bijzonder, zich terdege te realiseren dat cybercrime een veel grotere bedreiging is dan men per business apart, tegen kan houden. Te meer omdat beveiliging klaarblijkelijk een bijzonder lage prioriteit heeft.
Tel hierbij even op dat de business graag nog steeds vast houd aan de ‘wens’ dat de yup goedkoper is dan de senior professional die men ‘en masse’ heeft laten gaan, dat dit nu al sporen aan het nalaten is gegeven de grote incidenten die alleen al de afgelopen zes maanden plaats hebben genomen.
Ik denk, en dit is natuurlijk een hele persoonlijke constatering, dat menig organisatie zich ‘slapend’ houd voor deze uitdagingenn waarvan we gevolgen in de onmiddellijke toekomst steeds vaker zullen gaan zien. Diginotar, cybercrime, en het uitvallen van cruciale systemen omdat kennis en ervaring en vooral professioneel inzicht eveneens de business werd uit gezet.
We gaan nog een hele warme zomer tegemoet. Dat is mijn voorspelling.