Yvo Hoeke, CEO NetSourcing, over dataprivacy; “Een goede dialoog is van essentieel belang”
Het up-to-date houden van ict-infrastructuur en applicaties blijft een serieuze uitdaging. De cyberbedreigingen worden groter en ingrijpender, dus is het zaak dat ICT goed aansluit op wat er speelt in de business. Meer dan ooit is deze alignment actueel. Volgens Yvo Hoeke, CEO van NetSourcing, begrijpen beide werelden elkaar nog altijd onvoldoende: “Een goede dialoog is daarom juist nu van essentieel belang.”
Bedrijven die niet up-to-date zijn, lopen zulke grote risico’s, dat wanneer het fout gaat zelfs winstverwachtingen direct fors naar beneden moeten worden bijgesteld. Vanwege deze ingrijpende gevolgen – door cyberaanvallen of het niet voldoen aan GDPR-richtlijnen – moeten ICT én de business doordrongen zijn van de ernst. “GDPR is veel meer dan een technische aangelegenheid”, aldus Hoeke. “Om up-to-date te zijn, moet je het allereerst eens zijn met elkaar over wat dat betekent. Vanuit ICT is dat wanneer de infrastructuur van servers, netwerk en werkplekken beschikt over de nieuwste veiligheidsupdates, maar voor een gebruiker is up-to-date iets heel anders, namelijk wanneer zij over de laatste informatie of de nieuwste applicaties of apps kan beschikken en deze direct op elke plaats kan gebruiken. Containerbegrippen als ‘de gebruiker’ of ‘de zorg’ dekken de lading niet langer. Het is dus noodzakelijk dat ICT en de zorg elkaar beter begrijpen. Daarom differentiëren wij voor de verschillende specifieke onderdelen van de zorg naar verschillende typen gebruikers. Ieder type gebruiker heeft bepaalde applicaties en informatie nodig om zijn/haar werk te kunnen doen. Ieder type gebruiker moet op bepaalde locatie(s) en device(s) over die applicaties en informatie kunnen beschikken. Al deze variabelen vragen om specifieke security en ondersteuning. Bovendien moet je weten dat de ouderenzorg essentieel anders is georganiseerd dan de GGZ of de jeugdzorg. Dit begrijpen en hierin differentiëren om zo de dialoog op gang te brengen en levendig te houden, dat is de essentie.”
Over één kam
NetSourcing zorgt dat elke professional in zorg, welzijn en veiligheidsregio kan beschikken over een goed werkende digitale werkplek met de juiste applicaties en informatie. Om dat goed te kunnen doen, hanteert NetSourcing een model waarbinnen de dienstverlening wordt gedifferentieerd naar typen gebruikers. Hierin is vanzelfsprekend veel aandacht voor veiligheid en de veranderende wet- en regelgeving. “Voor de verschillende typen gebruikers classificeren wij de verschillende soorten informatie die worden verwerkt”, vertelt Hoeke. “Binnen die classificatie onderscheiden wij privé/privé, privé/zakelijk (zoals de opzet voor een memo), zakelijk/openbaar, zakelijk/veilig en privacygevoelige informatie. Wij pleiten dan ook voor een gedifferentieerd beleid, waarbij voor de verschillende typen informatie ook verschillende security-standaarden worden gehanteerd. Er zijn allerlei technische oplossingen om dit goed in te richten, maar daar wil ik het nu niet over hebben. Belangrijker is het opzetten van een actieve dialoog met klanten, zowel aan de businesskant als aan de kant van ICT. Wíj begrijpen die noodzaak van differentiatie en classificatie wel, maar het is essentieel dat de klant dit ook ziet. Want als je alles over één kam blijft scheren, schiet je gewoon mis.”
Logische aanpak
Volgens Hoeke is het belangrijk om in het kader van beveiliging de samenhang en correlatie tussen verschillende zaken te blijven monitoren. “Door typen gebruikers en hun manier van werken te differentiëren en de data waarmee wordt gewerkt te classificeren, kun je veel gerichter werken. In het minimaliseren van risico’s kun je van het grootste risico toewerken naar het kleinste. Wet- en regelgeving eisen hieromtrent ook steeds meer inzicht. Dit is ons inziens de meest logische aanpak. Wij zijn gespecialiseerd in het samenstellen van een realistisch stappenplan in dit kader. Waar komt een organisatie vandaan en waar staat ze nu? Het heeft geen zin om in één keer te grote stappen te willen maken, omdat veranderingen dan niet zullen werken. In onze werkwijze analyseren wij op onafhankelijke wijze in hoeverre gebruikers al naar de verschillende typen zijn gedifferentieerd en hoe het staat met de classificatie van data. Vervolgens gaan we de dialoog aan met de klant over een plan om van A naar B te komen. Vanzelfsprekend zetten wij bij die analyse en de vervolgstappen allerhande technische hulpmiddelen in, maar in werkelijkheid gaat het over de dialoog die plaatsvindt. Zolang die niet wordt gehouden, blijven de wereld van de ICT en van de business langs elkaar heen praten, en blijven de risico’s.”
Besef
In zekere zin stimuleert GDPR de diverse organisaties om de processen rondom security en dataprivacy nu echt serieus en dus structureel aan te pakken. Bestuurders zijn beducht op de aanstaande veranderingen. Het is dan ook belangrijk dat beslissingen vanuit riskmanagement op het juiste niveau in de organisatie worden genomen. Hoeke: “Inzicht in de correlatie tussen de diverse ict-onderdelen is evenzeer belangrijk binnen dit verhaal. De medewerker werkt op bepaalde apparatuur op een locatie en gebruikt bepaalde applicaties, die op allerlei plaatsen kunnen draaien. Dit betekent dat beslissingen omtrent de inrichting van het netwerk, de apparatuur die bepaalde typen gebruikers wel of niet mogen gebruiken, en de applicaties, direct van invloed zijn op alles rondom informatiebeveiliging. Succesvolle security en dataprivacy valt of staat met dit besef onder onze klanten en hun gebruikers over het soort data waarmee ze werken, en wat de afspraken daaromtrent zijn. Wij faciliteren daarin.”
Verantwoordelijk
Daar komt nog bij dat de visie van bestuurders niet altijd noodzakelijkerwijs overeenkomt met de bewustwording in de organisatie. Dit hangt samen met de cultuur en diversiteit onder de medewerkers. “Jongere medewerkers staan doorgaans veel luchtiger tegenover privacy-issues”, weet Hoeke. “Zij staan minder vaak stil bij wat bijvoorbeeld Facebook, Google en andere partijen aan data verzamelen en vastleggen en wat zij doen met deze privacygevoelige gegevens. Juist om de correlatie tussen al die data inzichtelijk te maken, en daarmee het belang van privacy, is die continue dialoog nodig.”
Die dialoog is voor nog iets anders onmisbaar, volgens Hoeke: “Veel bedrijven denken dat wanneer zij de ICT hebben uitbesteed, ze daarmee ook de verantwoordelijkheden hebben uitbesteed. Dat is een misvatting. Iedere organisatie is en blijft verantwoordelijk voor hun privacy-beleid. Wij hebben als dienstverlener onze eigen verantwoordelijkheid om continu te laten zien hoe gedegen onze werkwijze is en hoe wij bijdragen aan informatiebeveiliging, dat wij over de juiste certificeringen beschikken enzovoort. Wij kunnen vanuit een technisch perspectief zaken nog beter, nog intensiever en nog geavanceerder doen. Maar eindeloos investeren in technische ‘state-of-the-art’ helpt slechts ten dele, zolang je daar niet ook de organisatorische kant van de zaak bij aanpakt. En daar is die dialoog voor nodig. Maar die kan pas structureel worden gevoerd als je gaat differentiëren. Want zolang het over ‘de gebruiker’ blijft gaan, of over ‘de zorg’ en andere generieke zienswijzen, wordt het erg moeilijk.”
