Nieuws & blogs

AVG: wassen neus of verziend oog?

16 juli 2018

Verslag sessie ‘AVG compliant in de IT-werkelijkheid ‘ - Deze lezing door Jan Matto, een lezing van een expert, was er eentje die je op scherp stelde . De materie ging diep, maar bewustwording heeft Jan absoluut gecreëerd. Tussen formele procedures op basis van AVG-richtlijnen en de IT-werkelijkheid zit volgens Jan een moeilijk te overbruggen kloof.

Schijnzekerheid

Image
Jan Matto - Mazars
Jan Matto - Mazars

Schijnzekerheid was de rode draad van de sessie. Jan schetst dat het met informatiebeveiliging - ondanks de AVG - nog niet goed gaat in de reële wereld. “We hebben echt geen idee waar onze data zich bevindt, ondanks de opnieuw gedefinieerde werkprocessen binnen kantoren. Neem de ISO-27001 certificering als voorbeeld: dat is een norm om te bepalen of het managementproces voor bedrijfsbeveiliging wel is ingericht. Terwijl de mens de zwakste schakel is en onze handelingen direct impact hebben op de mate van databeveiliging. Net als slechte IT-systemen overigens.”

Het proces kan nog zo goed zijn ingericht op basis van AVG-normen, als de mens en de IT dat niet zijn, dan heb je een probleem. Men heeft echt geen idee wat er in of achter die netjes ingerichte processen gebeurt met data. Waar staat het, wat gebeurt ermee, wie kan erbij en wanneer? Het is volgens Jan tijd om hierover transparantie te vragen en te geven.

AVG een wassen neus?

Is AVG dan een wassen neus? Nee, dat niet, volgens Jan. De AVG zorgt ervoor dat er veel op ons afkomt: meer wetten, meer audits en richtlijnen. Maar toch, voordat we het weten zijn we gehackt, ook mét AVG-wetgeving. Groot voordeel is dat informatiebeveiliging door de AVG aandacht krijgt. Terecht, maar we zijn er nog lang niet. Er dienen ook nieuwe wetgeving en richtlijnen te komen over hoe IT-omgevingen ingericht moeten worden. Jan geeft identiteitsfraude als voorbeeld. Het kan zijn dat jouw digitale ‘ik’ in 1000 varianten in de digitale wereld ronddwaalt, gebaseerd op data die ooit ergens ‘ontsnapt’ is. Hoe komt het daar? Voordat alle bedrijven echt onder knie hebben hoe ze op welk moment met data moeten omgaan en beveiligen is een uitdaging.

Image
Jan Matto - Mazars
Jan Matto - Mazars

Een ander voorbeeld is hoe de Strava app (app voor hardlopers) begin dit jaar geheime militaire locaties openbaarde. Kortom, je kunt als organisatie van alles beweren – wij hebben informatiebeveiliging zo en zo ingericht – maar heb je het gecheckt aan de werkelijkheid, aan je reëele IT-omgeving en de mensen die ermee werken? AVG, en informatiebeveiliging in zijn algemeenheid, gaat verder dan processen inrichten. Het gaat ook over het dieper bekijken van data en systemen en tot in detail weten wat er op de achtergrond gebeurt. De komst van AVG juicht Jan toe. De basis staat, maar laten we nu zorgen voor een scherp beeld van de betrokken data, IT en mensen. 

Jan stelt: de organisatorische maatregelen raken maar één kant van de medaille. De andere kant van de medaille is de IT-werkelijkheid. Daar waar de gegevens veelal buiten het zicht van de verantwoordelijken worden verwerkt. Juist daar moeten we nu mee aan de slag.

Download de presentatie hier

 

Jan Matto Jan Matto is partner bij Mazars. Hij heeft meer dan twee decennia ervaring met IT audit, privacy impact assessments, informatiebeveiliging en onderzoek van beveiligings- en cybersecurityincidenten. Privacy impact assessments heeft hij onder meer uitgevoerd naar de elektronische Nederlandse Identiteitskaart (eNIK), eID Stelsel, Idensys en varianten van DigiD. Een aantal van zijn onderzoeken zijn door de Nederlandse overheid gepubliceerd en besproken in de Tweede Kamer.