Inhoud
Privacy staat volop in de belangstelling. Niet gek, gezien de mogelijkheden die digitale dienstverlening biedt. Organisaties vragen zich steeds vaker af of ze privacy binnen hun organisatie wel goed hebben georganiseerd en waar mogelijkheden en grenzen aan het gebruik van informatie liggen. Martijn van der Veen, eigenaar van privacy-adviesbureau Procis, juicht deze ontwikkeling toe. Volgens hem ligt in een goede omgang met privacy de sleutel naar nieuwe kansen en innovatie.In control
Sinds Martijn zich in 2008 volledig toelegde op privacy heeft hij de aandacht voor privacy zien veranderen. “Privacy was lange tijd iets dat er een beetje bij hing. Nu willen organisaties en bedrijven ‘in control’ zijn als het om privacy gaat. Ze moeten ook wel. Bedrijven beloven aan hun klanten dat ze zorgvuldig met hun gegevens omgaan, maar het wordt steeds moeilijker om die belofte te houden. Niet alleen blijft de rol van ICT toenemen, ook wetgeving stelt hogere eisen. Klanten worden steeds kritischer op bedrijven die hun zaken niet op orde hebben.”
Martijn vervolgt: “Wil je in control zijn, dan moet je drie zaken op orde hebben. Als eerste privacy compliance. Je moet aantoonbaar voldoen aan privacywet- en regelgeving zoals de Wet Bescherming Persoonsgegevens en de Telecommunicatiewet. De basis daarvoor is weten welke persoonsgegevens je organisatie verwerkt, door wie en hoe je processen en beheersmaatregelen zijn ingericht. Als tweede moet je kunnen acteren op veranderingen van je processen, je ICT en nieuwe wetgeving. Kortgezegd, je wilt je privacy-governance op orde hebben. Als derde moeten je medewerkers integer omgaan met de gegevens. Je wilt dat je mensen de juiste keuzes maken en het belang van klanten niet schaden”, legt Martijn uit. “We moeten niet vergeten waar privacy om gaat. Het gaat uiteindelijk om de mensen over wie de gegevens gaan. Soms gaat het om mensen in een kwetsbare of afhankelijke positie, dan zal je extra zorgvuldig moeten werken.”Wat houdt organisaties tegen om deze drie zaken op orde te krijgen? “Bedrijven lopen vaak aan tegen het probleem dat privacy gefragmenteerd is over verschillende onderdelen van een organisatie. Bij een eenvoudig proces zijn al snel minimaal meerdere business units, de afdeling ICT en juridische zaken betrokken. Al die losse elementen en aantallen betrokkenen maakt afstemming en een integraal beleid rond privacy lastig, terwijl je daar wel naar moet streven. Ook missen veel bedrijven het inzicht in hoe ze omgaan met privacy. Als je niet weet waar risico's zitten zal je niet goed weten wat je moet verbeteren.”
Om organisaties te ondersteunen bij hun privacyvraagstukken ontwikkelde Procis een Privacy Framework. Met dit Framework kan een organisatie volledig zicht krijgen op privacy en een integraal beeld van maatregelen in beheer brengen. Daarmee wordt het eenvoudig om aan te tonen dat de organisatie handelt volgens de geldende normen. Door meteen governance-processen in te richten worden resultaten geborgd wat de kosten voor het beheer van privacy verlaagt.Privacy Framework
Voor de inrichting van het Privacy Framework gebruikt Procis de informatiemanagementsoftware van Mavim, Rules. “Het Privacy Framework is een template waarin alle elementen zijn opgenomen die van belang zijn bij het ‘in control’ raken en blijven. Denk aan privacywetgeving, normeringen zoals de ISO27000 en de gemeentelijke BIG norm, aangevuld met rapportages en analyses”, vertelt Martijn. “ Voor de verbinding tussen processen en wetgeving gebruiken we Rules. Wil je kunnen toetsen of de dagelijkse gang van zaken voldoet aan wet- en regelgeving zal je de relevante processen in kaart moeten hebben”, licht Martijn toe.
Op de vraag waarom hij heeft gekozen voor Rules als technische ondersteuning voor het Framework, antwoordt Martijn: “Rules kwam als beste uit de bus in mijn onderzoek. Ik heb bewust gezocht naar tooling om het inrichten en beheer van privacy te ondersteunen. De tooling moest voldoen aan een aantal requirements. Ik vind het essentieel dat ondersteunende techniek ‘licht’ in gebruik is”, vervolgt Martijn. “Rules is gebaseerd op de Microsoft Office Suite wat het heel herkenbaar en intuïtief in gebruik maakt. Bovendien kan je direct met bestaande documenten van een klant aan de slag. Verder was een van mijn eisen dat de software flexibel in te richten moest zijn, dus zonder dwingend karakter. Voor iedere klant wil ik een passende oplossing kunnen bieden. Iedere klant is uniek, die wil niet vastzitten aan strakke richtlijnen of beperkingen van de ICT. Daarnaast speelde schaalbaarheid een belangrijke rol. Het Privacy Framework kan ik updaten. Het beheer van privacy is een continu proces en klanten willen niet bij iedere verandering een compleet project moeten opstarten. De software van Mavim maakt privacy compliance makkelijker en goedkoper voor klanten. Dat is winst voor mijn klanten en winst voor privacy.”Toegevoegde waarde
Best handig zo’n Privacy Framework! Zou iedere organisatie zelf haar privacy beleid en –beheer met wat technische ondersteuning in kunnen richten? “Ja, in principe kan dat”, onderkent Martijn, “maar goede tooling is maar het halve verhaal. De benodigde expertise die bij de inrichting van privacy komt kijken, moet niet worden onderschat. Privacy is een vakgebied op zich. En dat vakgebied verandert snel, dus up-to-date kennis is lang niet bij iedere organisatie aanwezig.”
“Wanneer ik het Privacy Framework inzet, profiteren organisaties van een ‘best practice’ model, gebaseerd op ervaringen in de markt, met voorgedefinieerde content. Daarmee is de basis meteen gelegd en maken klanten een vliegende start. Doordat het Framework up-to-date is, kan ik die korte doorlooptijd van twee tot drie maanden toezeggen.”
Privacy is een breed begrip. Hoe positioneert Procis zich? “De basisdienstverlening is gericht op de implementatie van het Privacy Framework. Het gaat dan om het modelleren van de processen met privacygevoelige gegevens, inventariseren van risico's en toewerken naar het management en beheer. Wanneer een klant zijn processen al in kaart heeft gebracht bouwen we daar natuurlijk op voort. Voor de technische installatie van Rules werken we samen met consultants van Mavim, of van andere Mavim Partners. Zo blijven wij doen waar we goed in zijn.”
Nadat Procis de privacy in kaart heeft gebracht en de eerste analyses heeft gemaakt, vindt overdracht van expertise plaats. “Wat ons betreft zijn organisaties zo snel mogelijk in staat om zelf analyses te maken en risico’s te monitoren. Voor het onderhoud en beheer kan een klant kan ervoor kiezen het beheer van privacy in eigen beheer te nemen, te profiteren van updates van het Framework of het beheer volledig uit te besteden aan Procis. We bieden daarmee volledige ondersteuning.” De dienstverlening van Procis is met name gericht op business-to-consumer bedrijven en (semi) overheidsinstellingen. Binnen deze branches is het belang van de bescherming van persoonsgegevens het grootst.Toekomstvisie
Martijn ziet het belang en vooral ook de complexiteit van informatie steeds verder toe nemen. “Wetgeving rond informatiebeveiliging en beveiliging van persoonsgegevens wordt steeds strenger. De Meldplicht Datalekken en het uitbreiden van de boetebevoegdheid van het College Bescherming Persoonsgegevens, de privacy waakhond, zijn hier concrete uitingen van. En laten we niet de komende Europese wetgeving vergeten. Naar verwachting wordt in 2015 de nieuwe Algemene Verordening Gegevensbescherming aangenomen. Deze legt de lat van informatiebeveiliging en privacy een stuk hoger dan nu het geval is.”
Wat is de belangrijkste verandering van de Europese Wetgeving? “Op dit moment is veel privacywetgeving te negeren, de controle is beperkt. Het CBP wordt wel een waakhond zonder tanden genoemd. Onder het nieuwe regime liggen de eisen hoger. Voor een bedrijf is de boodschap straks helder: zorg dat je aantoonbaar compliant bent. Het staat er letterlijk. Boetes kunnen sneller worden uitgedeeld bij een datalek of niet voldoen aan de wetgeving.”
Martijn benadrukt de importantie van kennis van zaken rond privacy beheer. “Heb je de juiste mensen binnen je organisatie? Privacy doe je er niet even bij, de juiste expertise en ervaring is onontbeerlijk. Een voorbeeld. De nieuwe Europese privacywetgeving stelt een DPO, een data protection officer, verplicht voor organisatie met meer dan 250 medewerkers. Nu is dat nog optioneel. Op dit moment zijn er in Nederland nog maar enkele honderden van terwijl je duizenden DPO's zou verwachten. Ik verwacht dan ook dat de behoefte aan dergelijke functionarissen toeneemt. Soms als voltijds functionaris, maar vaker zullen organisaties ondersteuning inhuren of dienstverlening op het gebied van privacy uitbesteden.”
Martijn ziet de diensten van Procis stevig groeien. Het is daarbij zijn doelstelling om een vast netwerk te creëren van bedrijven en business analisten uit verschillende sectoren die de relaties tussen de bedrijfsprocessen en de privacy voorwaarden van een organisatie in kaart brengen. Met een team van privacy officers, ondersteund door het Privacy Framework, komen nieuwe privacy diensten in zicht."
