Informatiebeveiliging en privacy stonden twee jaar geleden – toen de AVG van kracht werd – enorm onder de aandacht van organisaties. Maar twee jaar later lijkt die focus een beetje te zijn weggeëbd. Hoe zorg je ervoor dat je deze thema’s van project naar programma tilt en je gericht verbeteringen kunt doorvoeren? Een gesprek met directeur consultancy Joyce de Jong van Audittrail over het voordeel van privacy en security assessments, continu veranderende bedreigingen en écht compliant zijn.

Het levendig houden van informatiebeveiliging en privacy is anno 2020 een van de grootste uitdagingen voor organisaties, begint Joyce het gesprek. “Je ziet dat de aandacht sinds 2018 een beetje is weggezakt. Organisaties vinden het lastig om iedereen betrokken te houden of om budget vrij te maken. Daarnaast heerst bij medewerkers soms ook het vermoeide gevoel van ‘is het nu nog niet klaar’. Die extra stap volwassenheid, waarbij security en privacy onderdeel worden van processen en niet alleen een project zijn, ontbreekt nog.”

Continu bijblijven

Dat informatiebeveiliging en privacy niet iets eenmaligs zijn, licht Joyce toe met een voorbeeld. “Als je het bijvoorbeeld hebt over security, zie je dat de bedreigingen steeds veranderen. Momenteel worden phishing aanvallen steeds complexer en hackers worden steeds slimmer. Of ze kopen hun hacking software online waardoor ze met weinig moeite veel schade kunnen aanrichten. Dan kun je niet zeggen dat de stappen van twee jaar terug nu ook nog voldoende zijn; je moet continu bijblijven en anticiperen op nieuwe gevaren.”

“Ook qua privacy zie je ontwikkelingen, bijvoorbeeld dat mensen steeds meer weten over hun eigen rechten. Dat kunnen klanten, patiënten of huurders zijn, maar ook medewerkers zelf. Zulke betrokkenen vragen om inzage of willen gegevens verwijderd hebben. En dan moet je als organisatie wel laten zien dat je de zaken goed op orde hebt.”

Verschillend volwassenheidsniveau

Joyce is met Audittrail actief in verschillende sectoren. Op de vraag of ze veel overeenkomsten of verschillen ziet in de praktijk, vertelt ze: “Qua soort uitdagingen zie je niet veel verschillen. De nuances zijn misschien verschillend – een zorginstelling besteedt bijvoorbeeld meer aandacht aan de encryptie van interne communicatie dan een woningcorporatie of gemeente – maar in de kern zijn de regels hetzelfde. Qua algemeen volwassenheidsniveau zien we wel veel verschil, en blijken bijvoorbeeld gemeenten vaak achter te lopen op andere sectoren.”

Financiële schade en continuïteitsgevaar

“Het niet voldoen aan privacy- en securityregelgeving is natuurlijk een probleem,” gaat Joyce verder. “Naast de welbekende boetes kun je ook aansprakelijk worden gehouden. We zien in de praktijk dat slachtoffers een schadevergoeding kunnen eisen en bij een datalek met bijvoorbeeld duizenden personen kan dat bedrag enorm snel oplopen. Ook imagoschade of onrust onder medewerkers kan een gevolg zijn. En wanneer een organisatie zich niet goed beveiligd heeft kan de continuïteit in gevaar komen, zoals eerder dit jaar gebeurde bij de Universiteit Maastricht.”

Goede basis

Wanneer een organisatie informatiebeveiliging en privacy wil aanpakken, is het essentieel om eerst een goede basis neer te zetten. Joyce: “Dat betekent dat – wanneer je écht vanaf nul begint – je het eerst als een project moet opzetten. Je stelt dan bijvoorbeeld beleidsdocumenten op, kijkt waar je cruciale processen zitten en hoe je risico’s eruit zien, neemt daar maatregelen op én richt je op het bewustzijn van medewerkers. Daarna wordt het een kwestie van continu onderhoud en ga je van project naar programma. In die situatie neem je bijvoorbeeld de impact op security en privacy mee voordat je met een project aan de slag gaat, in plaats van achteraf te kijken hoe je je aan wet- en regelgeving houdt.”

Wennen

Die switch naar programmamatig informatiebeveiliging en privacy in de gaten houden is best even wennen voor organisaties, legt Joyce uit. “Zeker als je gewend bent om zelfsturend te werken. We merken dat hoe zelfstandiger een afdeling werkt, hoe lastiger het integraal meenemen van deze thema’s is. Logisch ook, want dat betekent toch dat al je medewerkers een bepaalde basiskennis nodig hebben. Maar hiermee tackel je wel een groot stuk van je continubeheer.”

Bewuste keuzes

Om organisaties te ondersteunen bij het professionaliseren van security en privacy, biedt Audittrail assessments aan. “Dat zijn onderzoeken waarin we organisaties doorlichten door onder andere te kijken naar de documentatie van deze thema’s en in gesprek gaan om te kijken hoe het papier zich vertaalt naar de realiteit,” vertelt Joyce. “Dat doen we aan de hand van normenkaders, zoals de AVG als het gaat om privacy en de ISO27001, al dan niet op basis van sectorspecifieke baselines, bij informatiebeveiliging. De organisatie ontvangt vervolgens bij elke onderdeel een volwassenheidsscore, van ‘nog niet toegepast’ tot ‘goed ingebed in de organisatie’. Op die manier weet een organisatie waar ze staat en kan het bewuste keuzes maken om zichzelf te verbeteren.”

Volledig veilig bestaat niet

“Daarbij is het goed om te weten dat een assessment handvatten geeft om de compliancy te verbeteren, maar niet betekent dat je 100 procent compliant bent,” gaat Joyce verder. “Compliant zijn is immers niets anders dan je aan de regels houden. Maar zo’n assessment is slechts een momentopname waarin wordt gekeken naar hoe processen zijn ingeregeld. ‘Volledig veilig’ bestaat niet, dat kan immers ook van individuele acties afhangen. Maar een volwassen proces stelt de organisatie wel in staat zo dicht mogelijk in de buurt te komen. Een assessment helpt dat te bereiken.”

Kern van compliant zijn

Op de vraag waar de kern van echt compliant zijn inzit, vertelt Joyce over een mix tussen bewustzijn en technische maatregelen. “Je ziet dat sommige organisaties vandaag de dag zich veel op bewustzijn richten. Logisch, want het is belangrijk, maar het bevat niet het hele plaatje. Ik zie in de praktijk soms organisaties die vertellen bij welke informatie medewerkers wel of niet mogen, maar vervolgens niets afschermen. Ze vertrouwen hun medewerkers maar dat is natuurlijk niet veilig, en mag in veel gevallen niet eens van de wet. Zo’n soortgelijk geval zag je ook een paar weken terug bij de GGD en de database waarin coronatestresultaten van bekende Nederlanders werden opgezocht, gewoon uit nieuwsgierigheid. Dat hou je met een beleid niet tegen. De ‘heilige graal’ van compliant zijn zit dus echt in een mix van bewustzijn en technische maatregelen. Daar kijken we dan ook gericht naar in onze assessments.”

Meten is weten

“Voor organisaties die privacy en security willen verbeteren geldt ‘meten is weten’,” sluit Joyce het gesprek af. “Dat is zeker van belang als je als organisatie al even bezig bent met informatiebeveiliging en privacy, en je de juiste stappen wilt nemen om zoveel mogelijk wint te boeken of juist zaken even te laten. Ga er niet vanuit dat je volledig compliant bent, maar ga kijken naar wat goed en minder goed gaat. Alleen op die manier weet je welke stappen je moet nemen om jezelf gericht te kunnen verbeteren.”

Audittrail is een audit- en adviesorganisatie op het gebied van security, privacy, GRC en kwaliteit. Met zijn team van bevlogen vakspecialisten voeren zij adviesopdrachten, audits uit bij woningcorporaties, zorginstellingen, gemeenten en overheden. Ook verzorgt Audittrail al jaren diverse privacy en securitytrainingen op maat. Wil je contact met Audittrail? Neem dan contact op via koffie@audittrail.nl of 071 – 747 17 17.

Interview is afgenomen door Johan van den Beld van vdBeld Communicatie.