Interview | Martijn van der Veen | Procis
Privacy staat volop in de belangstelling. Niet gek, gezien de mogelijkheden die digitale dienstverlening biedt. Organisaties vragen zich steeds vaker af of ze privacy binnen hun organisatie wel goed hebben georganiseerd en waar mogelijkheden en grenzen aan het gebruik van informatie liggen. Martijn van der Veen, eigenaar van privacy-adviesbureau Procis, juicht deze ontwikkeling toe. Volgens hem ligt in een goede omgang met privacy de sleutel naar nieuwe kansen en innovatie. Innovatie en privacy gaan volgens hem hand in hand, mits bedrijven hun interne organisatie van persoonsgegevens op orde hebben. Volgens Martijn is dit nu vaak nog niet het geval en lopen bedrijven daarmee risico’s op dataverlies, reputatieschade en boetes. Met de nieuwe Europese privacywetgeving worden die risico's alleen maar groter.
In control
Sinds Martijn zich in 2008 volledig toelegde op privacy heeft hij de aandacht voor privacy zien veranderen. “Privacy was lange tijd iets dat er een beetje bij hing. Nu willen organisaties en bedrijven ‘in control’ zijn als het om privacy gaat. Ze moeten ook wel. Bedrijven beloven aan hun klanten dat ze zorgvuldig met hun gegevens omgaan, maar het wordt steeds moeilijker om die belofte te houden. Niet alleen blijft de rol van ICT toenemen, ook wetgeving stelt hogere eisen. Klanten worden steeds kritischer op bedrijven die hun zaken niet op orde hebben.”
Martijn vervolgt: “Wil je in control zijn, dan moet je drie zaken op orde hebben. Als eerste privacy compliance. Je moet aantoonbaar voldoen aan privacywet- en regelgeving zoals de Wet Bescherming Persoonsgegevens en de Telecommunicatiewet. De basis daarvoor is weten welke persoonsgegevens je organisatie verwerkt, door wie en hoe je processen en beheersmaatregelen zijn ingericht. Als tweede moet je kunnen acteren op veranderingen van je processen, je ICT en nieuwe wetgeving. Kortgezegd, je wilt je privacy-governance op orde hebben. Als derde moeten je medewerkers integer omgaan met de gegevens. Je wilt dat je mensen de juiste keuzes maken en het belang van klanten niet schaden”, legt Martijn uit. “We moeten niet vergeten waar privacy om gaat. Het gaat uiteindelijk om de mensen over wie de gegevens gaan. Soms gaat het om mensen in een kwetsbare of afhankelijke positie, dan zal je extra zorgvuldig moeten werken.”
Wat houdt organisaties tegen om deze drie zaken op orde te krijgen? “Bedrijven lopen vaak aan tegen het probleem dat privacy gefragmenteerd is over verschillende onderdelen van een organisatie. Bij een eenvoudig proces zijn al snel minimaal meerdere business units, de afdeling ICT en juridische zaken betrokken. Al die losse elementen en aantallen betrokkenen maakt afstemming en een integraal beleid rond privacy lastig, terwijl je daar wel naar moet streven. Ook missen veel bedrijven het inzicht in hoe ze omgaan met privacy. Als je niet weet waar risico's zitten zal je niet goed weten wat je moet verbeteren.”
Om organisaties te ondersteunen bij hun privacyvraagstukken ontwikkelde Procis een Privacy Framework. Met dit Framework kan een organisatie volledig zicht krijgen op privacy en een integraal beeld van maatregelen in beheer brengen. Daarmee wordt het eenvoudig om aan te tonen dat de organisatie handelt volgens de geldende normen. Door meteen governance-processen in te richten worden resultaten geborgd wat de kosten voor het beheer van privacy verlaagt.
Privacy Framework
Voor de inrichting van het Privacy Framework gebruikt Procis de informatiemanagementsoftware van Mavim, Mavim. “Het Privacy Framework is een template waarin alle elementen zijn opgenomen die van belang zijn bij het ‘in control’ raken en blijven. Denk aan privacywetgeving, normeringen zoals de ISO27000 en de gemeentelijke BIG norm, aangevuld met rapportages en analyses”, vertelt Martijn. “ Voor de verbinding tussen processen en wetgeving gebruiken we Mavim. Wil je kunnen toetsen of de dagelijkse gang van zaken voldoet aan wet- en regelgeving, dan zal je de relevante processen in kaart moeten hebben”, licht Martijn toe. Op de vraag waarom hij heeft gekozen voor Mavim als technische ondersteuning voor het Framework, antwoordt Martijn: “Mavim kwam als beste uit de bus in mijn onderzoek. Ik heb bewust gezocht naar tooling om het inrichten en beheer van privacy te ondersteunen. De tooling moest voldoen aan een aantal requirements. Ik vind het essentieel dat ondersteunende techniek ‘licht’ in gebruik is”, vervolgt Martijn. “Mavim is gebaseerd op de Microsoft Office Suite wat het heel herkenbaar en intuïtief in gebruik maakt. Bovendien kan je direct met bestaande documenten van een klant aan de slag. Verder was een van mijn eisen dat de software flexibel in te richten moest zijn, dus zonder dwingend karakter. Voor iedere klant wil ik een passende oplossing kunnen bieden. Iedere klant is uniek, die wil niet vastzitten aan strakke richtlijnen of beperkingen van de ICT. Daarnaast speelde schaalbaarheid een belangrijke rol. Het Privacy Framework kan ik updaten. Het beheer van privacy is een continu proces en klanten willen niet bij iedere verandering een compleet project moeten opstarten. De software van Mavim maakt privacy compliance makkelijker en goedkoper voor klanten. Dat is winst voor mijn klanten en winst voor privacy.”
Toegevoegde waarde
Best handig zo’n Privacy Framework! Zou iedere organisatie zelf haar privacy beleid en –beheer met wat technische ondersteuning in kunnen richten? “Ja, in principe kan dat”, onderkent Martijn, “maar goede tooling is maar het halve verhaal. De benodigde expertise die bij de inrichting van privacy komt kijken, moet niet worden onderschat. Privacy is een vakgebied op zich. En dat vakgebied verandert snel, dus up-to-date kennis is lang niet bij iedere organisatie aanwezig.”
“Wanneer ik het Privacy Framework inzet, profiteren organisaties van een ‘best practice’ model, gebaseerd op ervaringen in de markt, met voor gedefinieerde content. Daarmee is de basis meteen gelegd en maken klanten een vliegende start. Doordat het Framework up-to-date is, kan ik die korte doorlooptijd van twee tot drie maanden toezeggen.”
Privacy is een breed begrip. Hoe positioneert Procis zich? “De basisdienstverlening is gericht op de implementatie van het Privacy Framework. Het gaat dan om het modelleren van de processen met privacygevoelige gegevens, inventariseren van risico's en toewerken naar het management en beheer. Wanneer een klant zijn processen al in kaart heeft gebracht bouwen we daar natuurlijk op voort. Voor de technische installatie van Mavim werken we samen met consultants van Mavim, of van andere Mavim Partners. Zo blijven wij doen waar we goed in zijn.”
Toekomstvisie
Martijn ziet het belang en vooral ook de complexiteit van informatie steeds verder toe nemen. “Wetgeving rond informatiebeveiliging en beveiliging van persoonsgegevens wordt steeds strenger. De Meldplicht Datalekken en het uitbreiden van de boetebevoegdheid van het College Bescherming Persoonsgegevens, de privacy waakhond, zijn hier concrete uitingen van. En laten we niet de komende Europese wetgeving vergeten. Naar verwachting wordt in 2015 de nieuwe Algemene Verordening Gegevensbescherming aangenomen. Deze legt de lat van informatiebeveiliging en privacy een stuk hoger dan nu het geval is.”
Wat is de belangrijkste verandering van de Europese Wetgeving? “Op dit moment is veel privacywetgeving te negeren, de controle is beperkt. Het CBP wordt wel een waakhond zonder tanden genoemd. Onder het nieuwe regime liggen de eisen hoger. Voor een bedrijf is de boodschap straks helder: zorg dat je aantoonbaar compliant bent. Het staat er letterlijk. Boetes kunnen sneller worden uitgedeeld bij een datalek of niet voldoen aan de wetgeving.”
Martijn benadrukt de importantie van kennis van zaken rond privacy beheer. “Heb je de juiste mensen binnen je organisatie? Privacy doe je er niet even bij, de juiste expertise en ervaring is onontbeerlijk. Een voorbeeld. De nieuwe Europese privacywetgeving stelt een DPO, een data protection officer, verplicht voor organisatie met meer dan 250 medewerkers. Nu is dat nog optioneel. Op dit moment zijn er in Nederland nog maar enkele honderden van terwijl je duizenden DPO's zou verwachten. Ik verwacht dan ook dat de behoefte aan dergelijke functionarissen toeneemt. Soms als voltijds functionaris, maar vaker zullen organisaties ondersteuning inhuren of dienstverlening op het gebied van privacy uitbesteden.” Martijn ziet de diensten van Procis stevig groeien. Het is daarbij zijn doelstelling om een vast netwerk te creëren van bedrijven en business analisten uit verschillende sectoren die de relaties tussen de bedrijfsprocessen en de privacy voorwaarden van een organisatie in kaart brengen. Met een team van privacy officers, ondersteund door het Privacy Framework, komen nieuwe privacy diensten in zicht.
Achtergrond
Er zijn verschillende ‘typen’ privacy. Voor organisaties gaat privacy over het verwerken van persoonsgegevens, zoals klant-, cliënt- of patiëntgegevens. Maar ook over online activiteiten of camera’s op de werkvloer. Privacy vraagt om de juiste omgang van persoonsgegevens binnen de kaders die door wetgeving zijn gesteld. Hoewel privacy zeker raakvlakken heeft met informatiebeveiliging, is er ook een duidelijk kenmerk dat de twee van elkaar onderscheidt. Waar het bij privacy gaat om de omgang van gegevens van personen, heeft informatiebeveiliging ook betrekking op andersoortige data zoals bijvoorbeeld financiële gegevens.
Over Martijn van der Veen
Martijn (36) is een zelfstandig ondernemer uit Utrecht. Hij studeerde Bestuurskunde aan de Universiteit van Twente waar zijn belangstelling voor beleid & informatie ontstond. Martijn werkte bij diverse organisatieadviesbureaus waar de vertaling van een visie of beleid naar de praktijk vooral zijn aandacht heeft. Informatievoorziening maakt hier een onlosmakelijk deel van uit. Door de raakvlakken tussen informatievoorziening en informatiebeveiliging is zijn focus gaan liggen op privacy. Vanaf 2008 legt hij zich volledig toe op privacy advisering en -implementatie.
