Dé Bouwstenen voor een succesvolle Privacy strategie

Informatie is een strategisch bedrijfsmiddel waar bedrijfsvoering voor een belangrijke mate op gestoeld is. Het is tegelijk een belangrijke risicofactor voor het functioneren ervan. Fraude ligt op de loer, maar ook een menselijke ‘druk op de verkeerde knop’ kan ernstige gevolgen hebben.

Hoge boetes, ontevreden medewerkers en burgers als informatie fout wordt behandeld of aangeboden. De meldplicht datalekken die vanaf 1 januari 2016 wordt ingevoerd maakt dat we nog zorgvuldiger moeten handelen en omgaan met informatiestromen. Privacygevoelige informatie was al beschemd onder de Wet Bescherming Persoonsgegevens, de meldplicht maakt het nog strikter.

Verschillende organisaties zijn de laatste tijd al in het nieuws omtrent databeveiliging. Gemeenten worden gewaarschuwd voor Suwinet beveiliging en jaarrekeningen via een accountant liggen onder een vergrootglas.

Hoe zet je informatieveiligheid en privacy blijvend op de agenda, hoe krijg je het in het dna van de organisatie? In 16 stappen naar een succesvolle implementatie van informatiebeveiliging.

• Mens als sterkste schakel De grootste winst zit in gedrag en bewustzijn. Stel dit centraal bij het verdere beleid. Maak ze informatiewijs. Het is een kerncompetentie;
• Alle partijen gelden, ga het gesprek aanHRM, facilitaire zaken, marketing bestuur zijn naast de meer voor de hand liggende afdelingen als ICT en Juridische Zaken even belangrijk in deze. Organiseer een regiegroep, met maandelijks overleg.
• Integrale aanpak loont Alle aspecten van informatieveiligheid gelden. Niet enkel IT-veiligheid. Let ook op fysieke veiligheid, gedrag en bewustzijn. Ontwikkel een bedrijfscultuur die informatieveiligheid waarborgt
• Concretiseer Informatie en veiligheid zijn abstracte begrippen, tezamen dus in het kwadraat. Concretiseer derhalve, voorkom ‘vage’ begrippen. In duidelijke begrijpelijke taal voorbeelden die aansluiten bij de organisatie. Communicatie is net zo belangrijk als technische maatregelen.
• Specifieke rollen De functionaris Gegevensbescherming is onder de Europese Wetgeving een specifieke rol. Denk na over toegevoegde rollen, denk aan een functionaris Informatieveiligheid bijvoorbeeld. Deze hebben een spilfunctie en zijn daarom hiërarchisch duidelijk in de organisatie geplaatst.
• Normering Wat zijn de doelen met het veiligheidsbeleid, naast wet- en regelgeving. En hoe verhouden deze zich tot elkaar. Leg dit vast in een normerend document. En laat dat regelmatig toetsen en beoordelen
• Nulmeting Laat een nulmeting uitvoeren, intern of extern. Hiervoor zijn standaarden als ISO 27001-audit of een Privacy Impact Assessment. Herhaal deze periodiek.
• Informatie inventarisatie Welke informatie moet beveiligd zijn? Klantgegevens (volgens de WBP zelfs aanvullend) maar denk ook aan HRM systemen en andere administratieve vormen van opslag. Zie informatie als alle aanwezig, of opgeslagen, data.
• Classificeer Bijvoorbeeld op basis van beschikbaarheid, integriteit en vertrouwelijkheid. Verlies de continuïteit van de organisatie niet uit het oog.

Welke maatregelen moet u als organisatie nemen door nieuwe privacywetgevingen?
Voor overheidsinstanties, gemeenten en andere organisaties verandert er veel op het gebied van privacy en informatieveiligheid. De nieuwe regelgeving heeft grote invloed op uw bedrijfsvoering bij de omgang met persoonsgegevens.

• Veiligheidsmatrix: Leg de veiligheidsmaatregelen vast in een matrix. Op basis hiervan kan de organisatie bepalen hoe veiligheidsmaatregelen efficiënt worden ingezet.
• Prioriseer Bijvoorbeeld in een ranking van risico’s : kans maal impact is de score
• Registreer Voorkom anekdotisch beleid, maar registreer incidenten. Hiermee inventariseer je sneller de risico’s.
• Anatomie van een lek Verkrijg inzicht in onderliggende verbanden. Vaak schuilen de risico’s juist in deze samenhang
• Samenwerking Hoe handelen andere organisaties? Kun je informatie delen. Transparantie is een wapen in de veiligheid
• Juridische onderbouwing De organisatie blijft verantwoordelijk voor alle informatie en de veiligheid. Wet- en regelgeving zijn daarin slechts leidraden
• Lange adem Het is al eerder aangegeven. Maar regelmatige checks en updates van de scenario’s rondom de beveiliging zijn van wezenlijk belang. Wetgeving verandert, techniek ontwikkelt voort en kwaadwillende gaan daarin mee.