Gerard Stroeve van Centric:

“Ga pragmatisch om met privacy in je organisatie”

Informatiebeveiliging en privacy zijn twee kanten van dezelfde medaille, vindt Gerard Stroeve, manager Security & Continuity Services bij Centric. “Als je als organisatie je informatiebeveiligingsproces goed hebt ingericht, kun je privacy daarin prima meenemen.”

                                                                                                                                              Tekst: René Schellingerhout
                                                                                                                                              Foto’s: Jeroen Bouman

Centric levert softwareoplossingen, IT outsourcing, business process outsourcing en staffing services aan bedrijven, (semi-)overheden en andere non-profit instellingen. Op de negentien vestigingen in Nederland werken 3.500 mensen, wereldwijd telt het Nederlandse bedrijf zo’n 5.000 medewerkers. De organisatie heeft veel kennis van branchespecifieke processen, waaronder van de overheid, supply chain, financiën en zorg.

 

Gerard Stroeve 1“We bieden IT-totaaloplossingen”, vertelt Stroeve op het hoofdkantoor in Gouda. “We leveren centrale applicaties aan organisaties. Dat doen we bijvoorbeeld aan veel gemeenten. Veel van de  gemeenten in Nederland werken met Centric software. Ook in de zorgsector en de branches supply chain en financiën zijn we goed vertegenwoordigd. Ook verzorgen we de infrastructuur en beheren we de ICT-omgeving voor onze klanten. En we ondersteunen onze klanten met consultancy.” Stroeve, zelf bijna twintig jaar werkzaam bij Centric, is met zijn afdeling verantwoordelijk voor diensten voor informatiebeveiliging en continuïteitsmanagement. “Bij continuïteitsmanagement sta je als bedrijf stil bij de vraag welke mensen, middelen, accommodatie en informatie nodig zijn om het bedrijf voort te zetten. Je wilt ook weten hoe lang de organisatie kan functioneren als één of meerdere van die componenten wegvallen voor bijvoorbeeld één uur, een paar dagen of twee weken. Als je weet wat de impact daarvan is, kun je maatregelen treffen om uitval te voorkomen.”

Plan, Do, Check, Act
Ook op het gebied van informatiebeveiliging denkt Centric samen met de klant na over de eisen die worden gesteld aan de bescherming van informatie. Stroeve: “Het gaat daarbij dan over eisen op het gebied van vertrouwelijkheid, integriteit en beschikbaarheid van informatie. Als je de eisen kent, kun je de dreigingen en risico’s in kaart brengen en vervolgens passende maatregelen treffen. Bij informatie gaat het overigens niet alleen om digitale informatie, maar ook om informatie op papier én om de kennis die tussen de oren van de medewerkers zit.” Stroeve pakt het schema erbij om het informatiebeveiligingsproces toe te lichten dat Centric gebruikt voor klanten. “Informatiebeveiliging begint met het vaststellen van beleid. Vervolgens breng je de informatiestromen in kaart en classificeer je die informatie naar vertrouwelijkheid, integriteit en beschikbaarheid. Na inzicht in de dreigingen, kunnen de risico’s worden vastgesteld. Op basis van deze risico’s kan het management keuzes maken ten aanzien van te nemen maatregelen. Na implementatie van de maatregelen is het belangrijk om de effectiviteit ervan te monitoren en aanpassingen te doen waar nodig. Zo doorloop je de hele cyclus volgens de fasen Plan, Do, Check en Act.”

“We classificeren informatie naar vertrouwelijkheid, integriteit en beschikbaarheid”

De classificatie op het gebied van vertrouwelijkheid wordt mede bepaald door eisen op het privacyvlak. Privacy raakt immers het vertrouwelijkheidsaspect van persoonsgegevens. Het informatiebeveiligingsproces is volgens Stroeve daarom ook zeer geschikt om privacyvraagstukken binnen organisaties in goede banen te leiden. “De komende Europese verordening stelt allerlei eisen aan het privacybeleid van bedrijven, waaronder het inrichten van een proces om te borgen dat er voortdurende aandacht is voor privacy. Zo’n proces kent dezelfde Plan, Do, Check en Act stappen als het informatiebeveiligingsproces”, aldus Stroeve.

 

40 41 42 en 43 Gerard Stroeve Centric 1Toch is het voor veel organisaties nog niet mogelijk om privacy direct  mee te nemen in een informatiebeveiligingsproces.“Nog niet elke organisatie heeft zijn beveiligingsproces op orde. Zorginstellingen en gemeenten zijn verplicht om met een  cyclisch informatiebeveiligingsproces te werken, maar veel organisaties hebben hun informatiebeveiliging nog niet in een dergelijk proces geborgd. De vraag is natuurlijk of die organisaties hun informatiebeveiliging volgens dit model vanaf de grond af aan moeten gaan opbouwen om aan de privacywetgeving te voldoen. Dat zal voor sommige organisaties waarschijnlijk een te grote stap ineens zijn.” Stroeve adviseert organisaties daarom om pragmatisch om te gaan met de vraag of privacy kan worden meegenomen in het model van informatiebeveiliging. “In een ideale situatie waar organisaties al een dergelijk informatiebeveiligingsproces kennen, kun je privacy daarin prima meenemen. Is dat er niet, gebruik dan andere, pragmatische manieren om met privacy om te gaan. Denk aan een sterk vereenvoudigde versie van het Plan, Do, Act, Check model voor het realiseren en borgen van de aandacht voor privacy.”

 

“Is er geen proces voor informatiebeveiliging, gebruik dan andere, pragmatische manieren om met privacy om te gaan”

Ondubbelzinnig ‘ja’
Als Centric bij klanten komt voor ondersteuning op het gebied van privacy, voeren de consultants als eerste stap veelal een privacy compliance check uit. “Daarbij zoom je even uit en bekijk je op een beschouwende manier de organisatie en haar processen. Zo wordt duidelijk in hoeverre de organisatie al voldoet aan de huidige Nederlandse wetgeving maar ook aan de toekomstige Europese wetgeving op het gebied van privacy. Daaruit volgen adviezen, bijvoorbeeld dat een Privacy Impact Analyse (PIA) of een risicoanalyse wenselijk is. Of dat, als de organisatie een informatiebeveiligingsproces of anders gezegd een Information Security Management System heeft, ze de privacyvraagstukken daarin kan integreren.”

Het belang van en de aandacht voor privacy neemt ook bij bedrijven en organisaties toe, stelt Stroeve vast. Maar hij herkent ook het beeld dat een privacybeleid en een passende privacybenadering zoals bedoeld in de komende Europese verordening door veel organisaties nog op de lange baan worden geschoven. “Tegelijkertijd zie ik een groeiend besef dat men er wel wat mee moet. De vraag voor veel organisaties is: maar wat dan precies en hoe? Er heerst op dit punt nog veel onbekendheid en onduidelijkheid. Toch stelt ook de huidige wet al dat organisaties op het gebied van privacy en dataprotectie passende maatregelen moeten treffen. Net als informatiebeveiliging in brede zin, vraagt ook privacybescherming om een governancemodel. Als je een Functionaris Gegevensbescherming, of een willekeurige andere medewerker in een organisatie, vraagt of hij ‘in control’ is als het om privacy gaat, wil je een ondubbelzinnig ‘ja’ horen. Het zou geen vraagtekens mogen oproepen, maar helaas doet het dat vaak wel.”

“Privacy vraagt net als informatiebeveiliging om een governancemodel”

Sterkere organisatie
Omdat er op het gebied van privacy en informatiebeveiliging nog veel onduidelijkheid en onwetendheid bestaat, informeert Centric zijn klanten actief hierover. “Onlangs hebben we een speciale uitgave gepubliceerd met daarin veel aandacht voor informatiebeveiliging en de komende privacywetgeving”, zegt Stroeve. ”Ik schrijf zelf blogs over dataprotectie en privacy en we verzorgen verscheidene trainingen over deze onderwerpen. Verder kunnen klanten in onze whitepapers de laatste ontwikkelingen op deze gebieden volgen. Ook helpen we klanten als ze willen weten waar ze precies staan op privacy- en dataprotectiegebied.” Stroeve benadrukt tot slot dat organisaties op diverse wijzen de vruchten plukken van een solide en goed beleid voor privacy en dataprotectie. “Wij geven korte bewustwordingsessies aan managementteams. Daarin leggen we uit wat er op hen afkomt en waarom het zo belangrijk is dat ze met dataprotectie en privacy aan de slag gaan en het ook intern uitdragen. Want de lol van privacy zit ‘m niet enkel in het voldoen aan wet- en regelgeving, de lol zit ‘m vooral in het sterker maken van de organisatie. Waarom? Omdat je heel bewust zaken vastlegt en als management bewuste keuzes maakt. En de lol zit ‘m ook in het weerbaarder maken van de organisatie. Als je zaken goed hebt doordacht kun je er gemakkelijker mee omgaan als dat nodig is. Het zit ‘m in het goed documenteren van zaken. En het zit ‘m, last but not least, in de veiligheidsbeleving van medewerkers. Want als een organisatie zijn privacyzaken op orde heeft, is dat niet alleen goed voor het imago van de organisatie naar buiten toe. Het schept ook een veilige en prettige werkomgeving voor de medewerkers en dat, zo is mijn overtuiging, leidt weer tot betere resultaten voor het bedrijf.”

Aanbevelingen Gerard Stroeve

  • Zorg voor privacybewustwording bij het (hoogste) management; dat is het startpunt voor privacydraagvlak binnen de organisatie.
  • Begin er vooral mee. Begin met privacyprocessen te beleggen in je organisatie. Waar en hoe je dat precies doet is aanvankelijk niet het belangrijkste; streven naar perfectie vanaf het begin is een ‘showstopper’. Als je ergens begint zorgt de Plan Do Check Act cyclus er vanzelf voor dat het onderwerp in de organisatie landt.
  • Ga pragmatisch om met de implementatie. Zorg echter wel voor borging, continuïteit en aansluiting bij de organisatieprocessen.
  • Als de organisatie een informatiebeveiligingsproces heeft geïmplementeerd, onderzoek dan de mogelijkheden om de aandacht voor privacy binnen datzelfde proces te borgen.