Privacy en security

door | 3 maart 2022 | Nieuws

Wat staat er op jouw To Do lijst?

Wat betekent dat voor de bedrijfsvoering?

Wat kost het en levert het op?

Dit kunnen jouw uitgangspunten zijn:

  • De juridische aspecten: omdat het moet.
  • Doen wat anderen ook doen: dan zal dat wel goed zijn!.
  • Mijn leveranciers zullen wel weten wat zij doen: daar kan ik op vertrouwen.
  • Ik kijk wat ik op internet vind en gebruik dat.
  • De uitkomst van een audit/questionnaire/scan.
  • Wat ik gehoord heb tijdens een webinar.
  • …….

Andere (drog)redenen:

  • Het komt slecht uit, ik heb nu even andere prioriteiten.
  • Geen interesse, tijd, budget, …..
  • Het zal zo’n vaart niet lopen…
  • Mijn leveranciers ontzorgen mij…. en daar ben ik niet aansprakelijk voor…
  • Ik ben ondernemer en geen IT’er, laat hen dat maar regelen.

Het is niet zo waarschijnlijk dat je letterlijk je hoofd in het zand steekt.

Maar weet je zeker of je voldoende en de juiste, weloverwogen, aandacht besteedt aan het borgen van de continuïteit van de organisatie? En ben je als onderdeel van de “normale” bedrijfsvoering goed voorbereid op eventuele calamiteiten?

Voor voorbeelden wat er zoal gaande is en de mogelijke calamiteiten:

 

 

 

 

 

 

 

 

zie: https://www.datalekt.nl

Als ondernemer/bestuurder wil je er op kunnen vertrouwen dat:

  • De computers (en ICT infrastructuur) het altijd doen (beschikbaarheid).
  • De gegevens altijd betrouwbaar en juist zijn(integriteit).
  • Niemand van buiten af (Cyber) of van binnen uit (fraude/oneigenlijk gebruik, misbruik), over je schouders mee kan kijken wat je doet, of de bedrijfsgegevens/persoonsgegevens kan inzien en dat het niemand lukt niet om daar toegang toe te krijgen (vertrouwelijkheid).

Waardoor het mogelijk is om:

  • Bezig te zijn met wat profijtelijk is voor jouw organisatie (winst en continuïteit).
  • Je te kunnen concentreren op jouw bestaande en nieuwe “business” (klanten, relaties, leveranciers).
  • Nieuwe diensten/producten te ontwikkelen, te verbeteren, op basis van privacy & security by design

Dat gaat niet vanzelf. Daar moet je dan toch wat voor doen.

Hoe pak je dan privacy en security aan als er sprake is van:

  • (Tot nu toe) onvoldoende aandacht daarvoor.
  • Diverse beperkingen, als onvoldoende budget, te weinig tijd en beperkte kennis/ervaring met deze materie.

Vanuit welke invalshoek ga je om met privacy en security?

Vanuit een juridisch oogpunt? De meest voorkomende variant: “omdat het van de AVG moet“. Lijstjes maken en nietszeggende overeenkomsten opstellen; de verplichtte oefeningen!

Afgedwongen door onvolkomenheden, zoals (security/privacy) incidenten, of datalekken, of door audits? Op momenten dat het niet echt goed uitkomt..? Ad hoc oplossingen.

Als onderdeel van de bedrijfsvoering? Langs deze lijn, de effectieve oplossingen:

  • Eigenaarschap: zichtbaar in de bedrijfsvoering (PDCA).
  • Privacy EN security: in onderlinge samenhang.
  • Aandacht voor prioriteiten: de grootste risico’s eerst, ..
  • Kiezen en gemaakte keuzes: verantwoorden (Pas toe of Leg uit).
  • Voor AL de assets (bedrijfsmiddelen); de aspecten opzet/bestaan/werking duidelijk verantwoorden .

Voorbeelden vanuit juridisch                 —             bedrijfsvoering perspectief

Vanuit de AVG Als onderdeel van de bedrijfsvoering
Lijstje kroonjuwelen Privacy en security by design.
Processen in verwerkingsregister Overzicht/inzicht in de bedrijfsmiddelen
Classificeren Status onderhoud per bedrijfsmiddel
Risico analyse van de processen Overzicht leveranciers en inzicht SLA’s
DPIA uitvoeren Overzicht contactpersonen
Verwerkersovereenkomst beoordelen Inzicht wat te doen bij ransomware
Privacyverklaring Al de overeenkomsten beoordelen
(foute) cookies aanpak Overzicht leveranciers en inzicht SLA’s
Proces voor melden incidenten Cyberverzekering?
  Veilig e-mailen en bestandsoverdracht
  Managen identiteiten
  Logging (en deze raadplegen)
Was al sinds 2000 (Wbp) nodig

Zorg dat je weet wat je niet weet!

Pas toe, of Leg uit

Opzet, bestaan, werking (audits)

Awareness, of Eigenaarschap?

Bij nagenoeg al de opdrachtgevers, waar ik de laatste jaren bijdragen mocht leveren aan het oplossen van privacy en/of security vraagstukken, en/of het wegwerken van achterstanden, trof ik deze beginsituatie aan:

  • Awareness acties gericht op de medewerkers. Leidinggevenden op afstand.
  • Security (CISO) los van privacy (FG/PO).
  • Fragmentarische aanpak. De Wbp[1] nooit geïmplementeerd. Dus veel “achterstallig onderhoud” op privacy gebied)
  • Ingevulde checklists en inventarisaties, op basis van elders gevonden templates. Nagenoeg geen FU acties.
  • Metingen van het volwassenheidsniveau, met steevast een uitkomst van ≤ 1 en een ambitieniveau dat niveau in een jaar naar 3 te brengen.
  • Onbekendheid met: 1) Pas toe of Leg uit, 2) opzet, bestaan, werking.
  • Al dan niet ad hoc risicoanalyses, zonder oog te hebben voor:
    • Restrisico’s en deze op het hoogste niveau te laten aftekenen.
    • Classificeren (Beschikbaarheid, Integriteit, Vertrouwelijkheid).
    • Geen aandacht voor eigenaarschap op het juiste niveau (zie volgende alinea).
  • Bezig met het implementeren van een wet, in plaats van het toetsen van de bedrijfsvoering, of deze voldoet aan privacy en security by design.

Voor wie geldt de feitelijke (AVG, inclusief security) Verantwoordingsplicht en wie is er feitelijk aansprakelijk?

Zowel de VIR 2007[2], als de security baselines[3] zijn daar duidelijk over: de ondernemer, bestuurder, directeur, lijnmanager en leidinggevenden zijn eigenaar van gegevensbescherming en informatiebeveiliging binnen hun werkdomein. Gezamenlijk behoren zij zorg te dragen voor awareness binnen de totale organisatie, zelf het goede voorbeeld te geven en voldoende middelen (tijd, budget) beschikbaar te stellen (als onderdeel van PDCA en jaarplannen).

De privacywetgeving dateert van 6 juli 2000!!!

Organisaties die nu nog bezig zijn met de inhaalslag om te voldoen aan de diverse verplichtingen, door de aspecten genoemd in de AVG op papier te zetten, zijn als het ware met een lange eindsprint bezig en hopen de eindstreep te halen. Vaak getypeerd als een volwassenheidsniveau (maturity level) 3 of 4!

Maar die eindstreep bestaat niet als je al zo ver achterloopt. Hij schuift eerder steeds verder op!

 

 

 

 

 

 

 

 

 

 

De kans dat er intussen iets fout gaat is groot, omdat al die jaren onvoldoende aandacht besteed is aan risicomanagement en informatiebeveiliging, voor AL de bedrijfsmiddelen (processen, procedures, gegevens, mensen, programmatuur, ICT infrastructuur).

Achterstallig onderhoud kan op alle fronten voorkomen; bij jouw leveranciers, provider, ketenpartner, ..

Enkele voorbeelden daarvan:

Een boete, de hackers betalen, of alles herstellen? Voorbeelden herstelkosten:

—————————————————————————————————————————————————————–

Denk als een ondernemer en niet vanuit een proces of rol!

Vanuit Business perspectief!

  • Stel security en privacydoelen vast als onderdeel van de dagelijkse bedrijfsvoering.
    • Security en privacy by design als prioriteit voor: aanschaf/ontwikkelen info systemen en grote wijzigingen.
    • 100%, centrale, registratie van al de bedrijfsmiddelen (assets) t.b.v.:
      • Inventarisatie achterstallig onderhoud
      • Inventariseren issues (privacy en security)
      • Eventuele calamiteiten (analyses en herstelacties), incidenten en datalekken
  • Weeg, als onderdeel van risicoanalyses kansen en bedreiging af. Bepaal de mogelijke impact op de bedrijfsvoeringen; werk de benodigde acties (passende maatregelen) uit en denk na over de benodigde middelen. Weeg kosten en baten tegen elkaar af.Maak keuzes op basis van bekende Baselines en documenteer.
  •  Inventariseer mogelijke verbeterpunten, financier en plan deze.
  • Voorkom nieuw achterstallig onderhoud; geef indringers geen kans om de bedrijfsvoering te verstoren!

En documenteer!!!

De bekende onvolkomenheden/issues, de gemaakte afwegingen en genomen beslissingen, transparant en toegankelijk voor toezichthouders/auditor en IA/IC.

Weet wat je niet weet!

Laat je niet verrassen. Bereid je voor op een calamiteit en disruptie. Zorg dat je weet wat je in huis hebt (inclusief het keten van leveranciers/partners/verwerkers) en wat de status daarvan is. Organiseer en test wat te doen en wie je nodig hebt als het fout gaat.

Alphen aan den Rijn, 14 april 2022

Norman van Es

[1] Wet bescherming persoonsgegevens (= privacywetgeving 1.0., AVG wetgeving 2.0)

[2] Voorschrift Informatiebeveiliging Rijksoverheid

[3] BIO, NEN7510, ISO 27001/2