Grip op risico's

Informatiebeveiliging

Informatiebeveiliging is de verzameling van technische en organisatorische maatregelen die risico’s, welke ontstaan bij het werken met informatie, tot een acceptabel niveau terugbrengen. Het doel van informatiebeveiliging is dat op een dusdanige manier met informatie omgegaan wordt, dat de beschikbaarheid, integriteit en vertrouwelijkheid van de informatie kan worden gewaarborgd.

Kader

Het normenkader is de NEN-ISO 27001, plus sectorale in- en aanvullingen. Voor de zorg is er bijvoorbeeld de NEN 7510 en voor de overheid de BIO.

Doelgroep

Informatiebeveiliging dient de organisatie als geheel, door risico's te beperken. De eigenaar is dus het bestuur, vertegenwoordigd in de CISO.

Gegevensbescherming

Gegevensbescherming gaat over de bescherming van persoonsgegevens en het respecteren van de informationele privacy. Privacy is de vrijheid die iemand nodig heeft om zichzelf te kunnen zijn. Informationele privacy is dus de vrijheid die iemand heeft om zelf te bepalen welke gegevens hij of zij over zichzelf vrijgeeft en wat daarmee mag gebeuren.

Kader

Gegevensbescherming is een wettelijke plicht die volgt uit de AVG en de Uitvoeringswet AVG. Iedere organisatie (iedere niet-huishoudelijke administratie van persoonsgegevens) moet hieraan voldoen. In art. 5 staan de beginselen die door de gegevensbescherming worden bewaakt:

• Rechtmatigheid, behoorlijkheid en transparantie
• Doelbinding
• Gegevensminimalisatie
• Juistheid
• Opslagbeperking (retentie)
• Integriteit en vertrouwelijkheid
• Verantwoording

Doelgroep

Gegevensbescherming dient de belangen van de betrokkene. Van de drie domeinen is dit het enige extern gerichte domein. De eigenaar is de FG, die (op basis van art. 38 lid 3) dan ook een hoge mate van onafhankelijkheid kent.

Risicomanagement

Risicomanagement is het op een goede manier identificeren, beoordelen en beheersen van risico's. Naast de inhoudelijke kennis vereist dit vakgebeid ook organisatievaardigheden. Namelijk, het beleggen van risico's bij eigenaren, het maken van afspraken over de te nemen maatregelen, het bewaken van de voortgang van de implementatie ervan en het daarover rapporteren richting directie.

Kader

Het normenkader voor risicomanagement is de NEN-ISO 31000.

Doelgroep

Uiteindelijk is de directie verantwoordelijk voor ieder risico binnen een organisatie, maar om het werkbaar te houden zijn veel zaken gedelegeerd naar anderen. De doelgroep voor risicomanagement zijn dus degene die het mandaat hebben om beslissingen te mogen en kunnen nemen over een risico.

Het raakvlak tussen informatiebeveiliging en gegevensbescherming

Dit raakvlak gaat over het beveiligen van persoonsgegevens, zoals benoemd in artikel 32 AVG. De AVG eist een adequaat ("passend") beveiligingsniveau, bestaande uit technische en organisatorische maatregelen.

De vermenging van deze vakgebieden komt vaak naar boven tijdens de DPIA, waarbij informatiebeveiliging onterecht inhoudelijk beoordeeld gaat worden. De juiste aanpak is door apart de risicoanalyse voor informatiebeveiliging uit te voeren en alleen de resultaten daarvan mee te nemen in de Data Protection Impact Assessment (DPIA), waarbij je op basis van die resultaten een uitspraak doet over de mate waarin voldaan wordt aan artikel 32.

Goede samenwerking tussen de CISO en de Functionaris Gegevensbescherming (of Privacy Officer) is noodzakelijk om dit raakvlak goed in te kunnen vullen. De uitdaging hierbij is dat de FG en de CISO samenwerken en niet half elkaars werk gaan doen. De proces-/informatie-eigenaar moet geconsulteerd worden voor de gegevensminimalisatie (kan het ook met minder) en de vraag wat een passend beveiligingsniveau is voor het bedrijfsproces.

De as door dit raakvlak

De as door dit raakvlak symboliseert de twee belangen die er zijn bij de uitvoering van de DPIA. Aan de ene kant zijn er de belangen van de betrokkenen, namelijk de bescherming van hun rechten en vrijheden. Aan de andere kant is er het belang van de organisatie, namelijk het voorkomen van boetes en imagoschade bij bijvoorbeeld een datalek.

Het raakvlak tussen informatiebeveiliging en risicomanagement

Het raakvlak tussen deze twee vakgebieden is de risicoanalyse voor informatiebeveiliging. Hierbij wordt gebruik gemaakt van de resultaten uit de Business Impact Analyse (BIA). Goede samenwerking met de afdeling informatiemanagement is noodzakelijk om goed zicht te hebben op hoe met informatie omgegaan wordt.

Goede kennis over risicomanagement bij de CISO is noodzakelijk om dit raakvlak goed in te kunnen vullen.

Kader

Voor risicoanalyse voor informatiebeveiliging is de NEN-ISO 27005 beschikbaar. Deze vertoont veel overeenkomsten met de NEN-ISO 31000.

De as door dit raakvlak

De as door dit raakvlak symboliseert de twee soorten risico's die ontstaan bij het werken met bedrijfsinformatie. Het ene soort wordt gevormd door de risico's voor de organisatie zelf, die worden behandeld tijdens een risicoanalyse. Het tweede soort bestaat uit de risico's voor andere organisaties. Bijvoorbeeld het risico voor de andere organisatie waar gelekte informatie over gaat of imagoschade voor de gehele sector in geval van een incident.

Het raakvlak tussen gegevensbescherming en risicomanagement

Dit raakvlak is de Data Protection Impact Assessment (DPIA). Het doel van de DPIA is het in kaart brengen van de risico's voor de rechten en vrijheden van de betrokkenen. De grote uitdaging hierbij is dat niet het risico voor jou / jouw organisatie moet worden bepaald, maar het risico voor anderen (de betrokkenen). Dit is een belangrijk verschil met de risicoanalyse.

Om binnen de organisatie zowel privacybescherming als risicomanagement goed en volledig te kunnen invullen, is samenwerking tussen deze twee vakgebieden noodzakelijk. Dit kan door iemand van de afdeling risicomanagement mee te laten denken over de DPIA of door de functionaris gegevensbescherming / privacy officer voldoende kennis te laten opdoen over risicomanagement.

De as door dit raakvlak

De as door dit raakvlak symboliseert de twee aandachtspunten tijdens de DPIA. Aan de ene kant zijn er de concrete risico's die een betrokkene loopt bij een verwerking van zijn of haar gegevens. Dit zijn de risico's die worden afgedekt door de AVG. Aan de andere kant zijn er risico's die verder gaan dan de AVG, bijvoorbeeld een mogelijke inbreuk op het gevoel van vrijheid die een betrokkene bij een verwerking kan ervaren, de gevolgd voor het imago van de organisatie bij een verwerking of een mogelijk onwenselijke trent die gestart kan worden bij deze verwerking.

Het raakvlak tussen de drie vakgebieden

De enige manier om echt volwassen te zijn binnen de drie vakgebieden, is door goede samenwerking. Informatiebeveiliging en gegevensbescherming zijn niet volledig als niet vanuit de risico's wordt gewerkt. Risicomanagement zonder concrete invulling of toepassing is natuurlijk zinloos. Conclusie: deze vakgebieden hebben elkaar nodig.

De assen door dit raakvlak

De assen symboliseren de volwassenheid op het gebied van samenwerking. De lijndelen buiten de figuur symboliseren geen samenwerking, meer naar binnen de aparte samenwerking tussen de verschillende vakgebieden en het ultieme doel in het midden: samenwerking tussen de drie vakgebieden.

De assen vormen drie vlakken. Deze drie vlakken symboliseren drie belangrijke uitgangspunten voor veilig omgaan met informatie:

• Ga altijd uit van risico's. Een beveiligingsmaatregel die geen inzichtelijk gemaakt risico aanpakt is een niet-efficiënte of zelfs zinloze maatregel.
• Maak risicomanagement iets van de hele organisatie. Geef eenieder de verantwoordelijkheid voor informatiebeveiliging die ze ook daadwerkelijk kunnen dragen.
• Kijk niet alleen naar risico's voor jezelf, maar ook naar risico's voor anderen. Andere organisaties of individuen. Wees eerlijk en transparant over de risico's richting hen.