Ruim acht maanden na de introductie van de nieuwe privacywet is AVG nog lang niet overal goed doorgevoerd. Bedrijven worstelen met de materie en hebben geen idee of ze er helemaal klaar voor zijn. Hoe weet je zeker dat je AVG-proof bent – en dat je geen persoonsgegevens meer in je systemen hebt die je als organisatie niet mág hebben?
AVG stemt tot nadenken: over je informatiestrategie, over de manier waarop je met (keten)partners communiceert en de zekerheid die je daarmee hebt rondom de mate van compliance. En ook of je zelf nog investeringen moet doen voor benodigde technologieën en zo ja welke?
Afhankelijk
Bedrijven en organisaties zijn volledig afhankelijk geworden van data, van informatie uit die data en van de kennis die is te halen uit de verwerking ervan. Dat maakt dat je zekerheden moet hebben met betrekking tot het creëren, delen en beheren van deze informatie. Uitbesteden van gegevensbeheer is in toenemende mate een serieus alternatief. Een die steeds vaker wordt overwogen, zeker nu de cloudproviding niet meer is weg te denken.
Logisch eigenlijk omdat goed informatiemanagement complex is geworden om op alle vlakken van informatieveiligheid te kunnen blijven voldoen aan wet- en regelgeving. Zeker als dat moet binnen je eigen bedrijfsomgeving. Technologie ontwikkelt zich steeds sneller en het gebruik ervan is noodzakelijk om bij te blijven in de concurrentiestrijd. Let wel, ik zeg het gebruik, niet het hebben van technologie is noodzaak. Daar zit een essentieel verschil. Een verschil dat ook binnen de organisatie invloed heeft, bijvoorbeeld op de rol van de chief information officer (cio). Die verschuift meer en meer naar de rol van chief information security officer (ciso). Security is het sleutelwoord in onze moderne informatiemaatschappij.
Faciliteren
Met uitbesteden bedoel ik niet zozeer dat alles buiten de deur wordt gezet, wat een tijdje populair is geweest in de crisistijd die achter ons ligt. Nee, het gaat meer om het faciliteren van gewenste functionaliteit in de vorm van bepaalde dienstverleningen. Neem security.
Wat de AVG ons in elk geval heeft gebracht, is dat organisaties zich bewust zijn geworden van de toenemende risico’s en de complexiteit die goede informatiebeveiliging met zich meebrengt. Er wordt controle gevraagd, transparantie naar bijvoorbeeld toezichthouders en belanghebbenden en tegelijkertijd moet het waterdicht beveiligd zijn. Dat is bijna met elkaar in tegenspraak.
Wanneer je het probleem echter anders benadert, zoals de aangifte van je belasting, wordt het al overzichtelijker. Dat doen de meeste bedrijven en mensen individueel toch ook via een accountant of andere financieel expert? Zo kun je ook met informatiebeveiliging omgaan: laat een expert het (online)platform en de functionaliteit leveren, waarop jij jouw kernactiviteiten onder geconditioneerde omstandigheden kunt uitvoeren: veilig en vertrouwd. Dat kan perfect in een software-as-a-service (saas)-model. Je krijgt een gerichte dienstverlening tot je beschikking, gebaseerd op de functionaliteit die jij wilt afnemen en/of nodig hebt. Gebaseerd ook op de nieuwste technologie met volledige transparantie, die je bovendien in staat stelt precies te reconstrueren wie op welk moment wat heeft gedaan met welke informatie. Het risico op ‘verkeerde’ informatie of verkeerde handelingen is daarmee een stuk kleiner; je bent immers impliciet voortdurend gebonden aan de regels van de AVG die zitten ingebouwd in de gefaciliteerde functionaliteit.
Van begeleidend naar corrigerend
De dataverzamelwoede van voorheen is niet meer toegestaan; need-to-know en nice-to-know is waar het nu om draait. Als er geen verband is met de kerntaak van de onderneming is het niet meer toegestaan om (privacygevoelige) persoonsdata te verzamelen en te bewaren. Daar moet een doordachte visie, beleid en executie van dat beleid aan ten grondslag liggen. Recent onderzoek bevestigt het beeld dat nog niet de helft van het Nederlandse bedrijfsleven zo ver is dat het volledig AVG-proof is.
Nog veel werk aan de winkel dus, wat enerzijds een trieste constatering is, maar een die volledig is toe te schrijven aan de complexiteit van de materie en de bijbehorende technologie. Er is een aantal factoren dat een cruciale rol speelt om grip op informatie te krijgen en te houden: middelen (techniek/systemen), processen en mensen.
De eerste twee, middelen en processen, zijn in te regelen. Nu dus het bewustzijn begint door te dringen van het belang van adequaat informatiebeheer, wordt het tijd om stappen te zetten. Want je wilt toch niet dat de Autoriteit Persoonsgegevens (AP) je als toezichthouder op de vingers tikt, om een informatieanalyse vraagt met alles rondom het wat en hoe, inclusief bijbehorend informatiebeheerplan en je het antwoord schuldig moeten blijven? Die AP heeft al aangegeven dat het beleid langzaam van ‘begeleidend’ naar ‘corrigerend’ gaat en vervolgens naar ‘handhavend’. Je krijgt dus nog wel tijd de mogelijkheid een en ander op orde te brengen, maar daarna heb je een serieus probleem als je niet het gevraagde ophoest en aantoont dat je je zaakjes op orde hebt.
Druk neemt toe
Op zich niets nieuws. Dit is al bekend vanaf het moment dat de AVG (GDPR in Europees verband) in 2016 werd aangekondigd. Maar het wordt wel langzaamaan concreter. De Nationale Politie is al op de vingers getikt (met een boete van 80.000 euro) voor het niet (tijdig) op orde hebben van (een deel van) haar informatiebeer. Ook een aantal ministeries waaronder dat van Veiligheid en Justitie (in verband met het bewaren van telecomgegevens), het UWV (omdat die bijvoorbeeld informatie vroeg aan aanvragers van uitkeringen in het kader van de ziektewet die niet relevant was), de Belastingdienst en zo kan ik nog wel even doorgaan. De Autoriteit Persoonsgegevens heeft sinds de invoering van de AVG op 25 mei van vorig jaar meer dan zevenduizend tips en klachten over vermeende privacy-schendingen ontvangen. De druk neemt dus toe.
Proactieve aanpak
Ik pleit ervoor proactief in te spelen op de veranderde (informatie)wereld, in plaats van dat de AP je publiekelijk op de vingers tikt. De schade die daaruit voortvloeit, ook al maak je het daarna alsnog voor elkaar, is vaak al erg genoeg. Als branche moet je de consequenties (kunnen) overzien en je branche op niveau brengen. Niet omdat het moet, maar omdat je dat als branche zelf zou moeten willen. Omdat deze problematiek nogal wat investeringen zou vergen van individuele partijen is het goed specialisten in te zetten.
Dus, wat wordt het uitzicht van 2019, doormodderen of knopen hakken?
O tempora, o mores! (‘O tijden, o zeden’)
Laat ik voorop stellen dat het rechercheren in open bronnen een vorm van democratie is om transparantie in het openbaar bestuur te geven. Bestuurders, notabelen enzovoort moeten inzage geven in hun nevenfuncties ongeacht of die betaald of onbezoldigd zijn. Het begrip ‘kartelpartijen’ krijgt een incestieuze betekenis als we kijken hoe en op welke wijze bestuurlijk Nederland met elkaar in bed ligt. De passie voor macht blijkt altijd weer boven de integriteit te gaan en de rede van Cicero over de corruptie in moderne tijd is nog even toepasselijk voor de moderne technologie.
Om de woorden van Henri te gebruiken – hij steelt ook mijn oneliners – privacy is a bitch omdat je links- of rechtsom altijd wel aan één of andere transactie gebonden wordt waardoor je persoonsgegevens onlosmakkelijk in een register zitten. Om de woorden van Janis Joplin te gebruiken: freedom is just another word for nothing to lose.
Eerlijk gezegd interesseert het me dan ook niet of een organisatie AVG-proof is want zo’n certificaat heeft evenveel waarde als de corruptie van de smaakpolitie, de slager keurt namelijk zijn eigen vlees als er niet aan de rechten van inzage, correctie en verwijdering voldaan wordt. Want de grootste truc van de duivel was de mensen doen geloven dat hij niet bestaat terwijl de duivel dus in de mogelijkheden van datasynthese zit die niet om de persoon maar het profiel gaat met toevallig unieke persoonlijke eigenschappen.
Het doel van de AVG is helemaal niet om de privacy te bewaken van Europese burgers. Zij is voornamelijk bedoeld om selectief privacy schenders aan te kunnen pakken als deze in het vizier komt van de gevestigde orde.
Hoofd van AP is een part-time waterhoofd en lid van het politieke old-boys netwerk. Verdere uitleg lijkt mij niet nodig.
Ondertussen is het aantal bedrijfjes dat al die Big Data doorspit en in hapklare brokken kan aanbieden exponentieel gestegen en is het toezicht daarop zo gefragmenteerd dat je eigenlijk niet weet wat ze uitspoken.
Wij van wc-eend …..
Mij lijkt dat als je weet hoe je je databeheer avg-proof kunt uitbesteden, je ook weet hoe je het zelf kunt regelen toch?