Ron Boscu, Sales Directeur van CompLions-GRC, weet het al ruim tien jaar: Privacy gaat hand in hand met informatiebeveiliging. “Nog altijd zijn veel bedrijven er niet van doordrongen dat de AVG serieus zal worden gehandhaafd vanaf mei 2018. Dus als iemand mij om een privacy-oplossing vraagt, zeg ik: ‘Ja, het werkt hetzelfde als informatiebeveiliging’.”
Goede beveiliging van informatie en/of privacygegevens vraagt om organisatorische en technische maatregelen. Met een Business Impact Analyse (BIA) onderzoek je of iets wordt gedaan vanuit een proces, een asset of een dienstverlening. Op basis van de bevindingen tref je maatregelen. “Dit is in een notendop het hele verhaal”, zegt Boscu. “Een Privacy Impact Analyse (PIA) doet hetzelfde, maar dan alleen voor privacygevoelige informatie. Onze tooling GRCcontrol ondersteunt de volledige certificering van Informatiebeveiliging voor onder meer de ISO 27001. NEN7510, BIG, BIR en de geannonceerde certificeringskaders voor de GDPR/AVG.
Zowel bij een negatieve uitvraag – risico’s en kwetsbaarheden – als een positieve – doelstellingen – moet er aantoonbare procesborging zijn. Dat bereik je niet met sec een PIA.”
Aantoonbare procesborging
Informatiebeveiliging met aantoonbare procesborging bereik je volgens het principe van Plan-Do-Check-Act. Boscu licht dit toe: “In de Plan-fase bepalen we de benodigde maatregelen uit de BIA-bevindingen. In de Do-fase wordt iemand verantwoordelijk om die maatregelen te implementeren. Volgens het vier-ogen-principe wordt er vervolgens iemand aangewezen die controleert of een maatregel effectief en efficiënt is geïmplementeerd. Is dat allemaal in orde, dan komt er groen licht om aanpassingen over te brengen naar de Act-fase. Wij doen dit al tien jaar en voor privacy geldt dezelfde routine, maar dan vanuit de (D)PIA, zodat passende en relevante maatregelen aantoonbaar in een procesborging worden opgenomen.”
Schijnveiligheid
Boscu waarschuwt voor de wildgroei aan privacy-oplossingen. “Door de hype omtrent de AVG (GDPR) ontstaat er een vals effect. Het merendeel van die PIA-tools doen niets anders dan wat de Autoriteit Persoonsgegevens en NOREA gratis op hun websites aanbieden. Je vult een lijstje/formulier in om de verwerking of impact in kaart te brengen, soms aangevuld met benodigde maatregelen. Vervolgens laten ze de ‘accountable’ of ‘responsible’ persoon een handtekening plaatsen op dat document. Meer niet! Stakeholders geloven dat ze hiermee hun verantwoordelijkheid hebben genomen, maar het is een schijnveiligheid, die alleen de voorkant in kaart brengt. Er zit geen enkel managementsysteem (Plan-Do-Check-Act) achter dat de onderliggende processen vastlegt. Die is vereist om met terugwerkende kracht bewijslast te kunnen laten zien.”
Is de accountant accountable?
Juridische adviseurs en accountants hebben de plicht om hun klanten op eventuele financiële risico’s te wijzen. “Je kunt in het kader van de AVG namelijk serieuze boetes krijgen”, benadrukt Boscu. “Regelmatig hoor ik dat de accountant, als vertrouweling van B&W of de RvB, zijn zorgplicht verzaakt. Omdat veel accountants geen oplossing hebben, vrezen ze dat hun klanten naar de grotere firma’s gaan die hen wel kunnen helpen. Daarom verzwijgen ze de risico’s.”
CompLions-GRC participeert in diverse partnerships met accountants en juristen, omdat de AVG vraagt om een best-of-breed-benadering. “Je moet niet met een puntoplossing komen”, weet Boscu. “Wij bieden vanuit compliancy en certificering een uitgekristalliseerde tool die de voorkant en de achterkant borgt, zonder verstikkend te zijn. Stakeholders zijn daarmee daadwerkelijk veilig. Privacy wordt er nu uitgelicht, maar uiteindelijk gaat het om informatiebeveiliging.”
