Centric connect.engage.succeed

AVG, weg ermee!?

Geschreven door Expertteam IT Outsourcing - 08 mei 2018

Expertteam IT Outsourcing
Dat klinkt als een vreemde titel uit de mond van een security- en privacyconsultant. Maar het valt mij op dat er de laatste maand een soort van nieuwe wind begint te waaien. Eentje die ik vrij vertaald ‘genoeg hierover, de hype is weer bijna voorbij’ zou willen noemen.

AVG staat voor algemene verordening gegevensbescherming (AVG). Veel organisaties, maar ook collega's in het veld, zijn AVG-moe geworden van al die bedrijven en consultants die dé oplossing voor AVG-compliancy kunnen bieden. Om maar niet te spreken over de boetes die ons staan te wachten. Je zou bijna gaan denken dat AVG, Autoriteit Persoonsgegevens (AP) en de bijbehorende boetes synoniemen zijn. Uiteraard met alle goede bedoelingen en intenties, maar zijn we dan nu compliant en wat heeft het ons nu werkelijk opgeleverd? 

Bewustzijn

Het heeft ons in ieder geval bewuster gemaakt van hoe we met gegevens, en dan met name persoonsgegevens, omgaan. En daar zit wat mij betreft de grote winst. De AVG is geen gereedschapskist met privacyhulpmiddelen, het is een bewustere manier van denken geworden. Het zou zelfs een organisatorische ‘state-of-mind’ moeten zijn, waarbij het privacy-denken en privacy-doen naadloos in elkaar overlopen. Een mooi voorbeeld van hoe het dan niet moet is Facebook. Een goed verhaal, een prachtige en gelaagde privacyverklaring en dan…. je vooral niet houden aan de eigen bedrijfsregels. Daar is in de bewustwording en zelfcontrole nog wel wat werk aan de winkel.

Toezicht

En laten we vooral het toezicht op de naleving niet alleen bij de Autoriteit Persoonsgegevens beleggen. Via zelf-assessment kun je negatieve publieke belangstelling grotendeels voorkomen. Helaas is er nog geen standaard control set voor de AVG. Maar omdat veel overheids-, gezondheids- en IT-organisaties al voldoen aan ISO 27001 of een afgeleide hiervan (BIR/BIG, NEN7510), zou ik willen pleiten voor een verplichte toevoeging van de ISO 27018 controls. Deze norm gaat dieper in op de security-aspecten voor het verwerken van persoonsgegevens in de cloud. Met name hoofdstuk 12 van ISO 27001/27002, operations security, krijgt hierdoor meer aandacht. Voorbeelden hiervan zijn: back-up (meerdere versies en bewaartermijn), logging en het gebruik van persoonsgegevens in gescheiden productie-, test- en ontwikkelomgevingen.

Blijvertje

In deze fase van invoering zijn organisaties vooral gericht op het beschrijven en aantoonbaar maken van een goede verwerking van persoonsgegevens. Voorkom dat dit een eenmalig project wordt. Trap niet in de Facebook-valkuil en zorg ook in de uitvoering voor bewustwording en zelfcontrole. Pas dan is AVG een blijvertje.

Cees Stelling is werkzaam bij Centric als consultant en maakt onderdeel uit van het Expertteam IT Outsourcing.

     
Schrijf een reactie
  • Captcha image
  • Verzenden