Vier redenen om data niet te beveiligen

Er is veel heisa over privacy gegevens, verwerken van data en het beveiligen daarvan. Dat wil zeggen: de veronderstelling hoe belangrijk het is om data te beveiligen. Maar laten we het eens omdraaien? Waarom zou je data niet beveiligen?

Grofweg zijn er meteen vier redenen te benoemen:

1. We hebben het al voor elkaar
2. Er is geen data om te beveiligen
3. Het is lastig en vervelend
4. Het kost veel geld en levert niets op

Laten we ze eens afpellen.

1. We hebben het al voor elkaar (toch?)

Top en gefeliciteerd! Als een van de weinige ondernemingen heeft u het voor elkaar en voldoet aan allerlei richtlijnen qua privacy en data beveiliging. Maar de vraag is natuurlijk of u denkt dat het geregeld is, of dat dit echt ook zo is. Heeft u directe inzage in de zaken die geregeld zouden moeten zijn of wordt u gemeld dat het geregeld is? Wij hanteren altijd het principe “Wantrouwen is slecht, maar controle is beter”. Dit klinkt wellicht negatief maar wij bedoelen hiermee dat er altijd kritisch gekeken moet worden naar wat er werkelijk is ipv bijvoorbeeld dat er een informatie beveiligingsbeleid is terwijl er geen toetsing gedaan wordt.

Om na te gaan of uw onderneming inderdaad succesvol is in beveiliging kunt u de volgende vragen stellen binnen uw organisatie:

• Hebben wij een informatie beveiliging beleid (IBB)?
• Hebben wij periodiek controle op het beleid qua onderhoud?
• Is er regelmatig (min 1x per jaar) een audit verslag over de werking van IBB en getoetst of dit ook in systemen zijn ingevoerd?
• Hebben wij een functionaris gegevensbeschermer welke rapporteert over voortgang en aandachtspunten binnen de organisatie?
• Welke rapportages krijgen wij over data en privacy beveiliging?

2. Er is geen data om te beveiligen

Data is er, ongeacht welke bedrijfsvoering of organisatie u heeft. Data is er in vele vormen. Ook als u geen enkele IT vorm heeft is er altijd data aanwezig. Maar waar wij het met u over willen hebben is dat er diverse vormen van data zijn en niet alles hoeft per sé beveiligd te worden. Als we het hebben over persoonsgegevens die via elke vorm beschikbaar is en dus openbaar is dus data waarop u niet direct een verplicht zal hebben om dit te beveiligen. Denk hierbij bijvoorbeeld aan data welke iemand vrijwillig openbaar stelt via een medium waarbij er geen enkele vorm van restrictie of voorwaarden worden gesteld aan die data.

Welke vormen van data onderkennen wij;

• Business data
  • Deze komen uit data banken, applicatie data
• Machine data
  • Netwerk informatie, detectie, logging
• Menselijke data
  • Persoonsgegevens, beeld dragend materiaal (foto’s, video’s), locaties

Om zelf te bepalen of er inderdaad geen data is om te beveiligen kunt u de volgende vragen stellen:

• Hebben wij persoonsgegevens opgeslagen met bijzonder kenmerken (bijv foto) of BSN nummer?
• Hebben wij data in onze IT systemen welke kunnen leiden tot imago schade als we deze openbaar zouden maken of dat dit door een 3e openbaar wordt gedaan?

3. Lastig en vervelend om te regelen

Dit is een lastig en vervelend onderwerp want inderdaad: een traject om te gaan beveiligen is lastig en voor vele medewerkers in de organisatie ook vervelend. Laten wij het u uitleggen.

Beveiliging van data wordt vaak gezien als een IT probleem en de aanpak wordt dan ook vaak van die kant opgepakt. Het is vaak ook geen onderwerp waar binnen uw organisatie expertise is en moet dus uitgeweken worden naar externe die dan ook nog eens peperduur zijn.

Het beveiligen van data begint in onze visie niet bij IT. De vraag over veiligheid van data zou moeten ontstaan vanuit de business waarbij HR en ICT de business faciliteren om te zorgen dat data beschermd gaat worden.

We verwijzen u naar ons andere white paper “Zorg en data beveiliging; 3 onderwerpen van aandacht voor Raad van Bestuur” waar we uitleggen met welke 3 elementen u te maken hebt.

Als u vragen aan uw organisatie zou willen stellen dan kunt u denken aan:

• Hebben wij data welke we moeten beveiligen in het kader van AVG?
• Hebben wij data welke we zien als bedrijf kritisch en hoe gaan we hiermee om?

4. Kost veel geld en levert geen sluitende beveiliging op

De vraag is of het beveiligen van data geld kost of dat dit juist geld oplevert. Natuurlijk zijn er kosten aan verbonden als u data gaat beveiligen en alle controles welke jaarlijks gedaan moet worden. Vaak leidt het beveiligen van data tot nieuwe procedures en kunt u medewerkers op een andere plek inzetten.

Dit is een simpele uitleg maar in de basis klopt het. Als voorbeeld noem ik de inzet van een bepaalde applicatie die zorgt dat alle medewerkers conform hun functie en rol in de organisatie volledig automatisch hun toegangen krijgt tot applicaties en data. De aanvraag voor toegang tot die data wordt gedaan door bijv de manager en op basis van business logica en wellicht nog met wat proces gestuurde toestemmingen verkrijgt de medewerker toegang. Dit kan bijna volledig automatisch. Kijkt u eens naar uw organisatie hoe dit nu er aan toe gaat.

Dit zijn de vragen die u aan uw organisatie kunt stellen:

• Hoeveel handmatige handelingen worden er gedaan om 1 persoon toegangen te verlenen zodat deze zijn werk kan doen?
• Hoeveel incidenten of andere vragen zijn er over toekennen van autorisaties (toegangen)?
• Hoeveel medewerkers werken aan toekennen van autorisaties?
• Hoeveel security incidenten hebben we afgelopen 5 jaar gehad?
• Hebben wij nagedacht over inzet van applicatie welke autorisaties kan automatiseren?
• Hebben wij nagedacht hoe we licentie beheer kunnen realiseren via bijv een Identiteit workflow

Wij willen u erop wijzen dat er altijd redenen zijn om iets niet te doen maar door het inzichtelijk te maken helpt het u en uw organisatie te groeien in bewustwording. Wij nodigen u ook uit om de andere white papers te lezen. Wellicht niet allemaal gericht op de onderneming waar u nu een functie vervult als lid van Raad van Bestuur, commissaris of toezichthouder. Het geeft u inzicht over beveiliging data en verantwoordelijkheid.