Privacy, informatiebeveiliging en risicomanagement: de actuele uitdagingen en best practices
donderdag 22 augustus 2024
Risicomanagement is een belangrijke pijler van dataprotectie en informatiebeveiliging. Gosse Bijlenga, Meindert Boon en Reinier Rossen, sprekers tijdens het L2P-kennisevent op 26 september, delen de praktische inzichten voor een effectieve aanpak.
"Een risicogebaseerde aanpak is een integraal onderdeel van de Algemene verordening gegevensbescherming (AVG)", zegt Gosse Bijlenga, adviseur en partner bij L2P, over de actualiteit van het thema risicomanagement. "In verschillende artikelen, zoals artikel 25 over privacy by design en artikel 32 over technische en organisatorische maatregelen, is een risicogebaseerde aanpak expliciet voorgeschreven. Daarnaast vraagt AVG-compliance als zodanig om een risicogerichte benadering. De AVG-vereisten zijn van toepassing op vrijwel elk werkproces van een organisatie. Als privacy professional kan je nooit alles netjes langs de meetlat van de AVG leggen. Je moet dus keuzes maken, en de focus leggen op de grootste risico's."
"Risicomanagement waarborgt dat je mensen en middelen gericht inzet, en verder denkt dan de verplichtingen van de wet- en regelgeving", voegt Meinert Boon, adviseur en partner bij L2P, toe. "Dat geldt voor AVG-compliance én voor normenkaders voor informatiebeveiliging, zoals ISO 27001 De implementatie van een maatregel kost tijd en geld. Met een goede risicoanalyse investeer je in wat er echt nodig is voor jouw specifieke organisatie."
Ook Reinier Rossen, adviseur bij L2P en gespecialiseerd in informatiebeveiliging en artificial intelligence (AI), benadrukt dat adequaat risicomanagement je organisatie helpt om de doelstellingen te behalen. "Als je weet wat de meest kwetsbare plekken van je organisatie zijn, dan kom je tot een weloverwogen aanpak van privacy en informatiebeveiliging. Je maakt een onderscheid tussen de hoofd- en de bijzaken, en je adresseert de belangrijkste risico's op het juiste niveau. Zo doe je niet te weinig, maar ook niet te veel. Risicomanagement zorgt er ook voor dat je een betrouwbare en stabiele partner bent voor klanten, prospects en leveranciers."
Risicomanagement voor privacy en informatiebeveiliging
Bijlenga, Boon en Rossen zijn sprekers tijdens het L2P-kennisevent, dat op 26 september plaatsvindt in Bunnik. Risicomanagement is het centrale thema van de dag. De sprekers delen de actuele inzichten uit de theorie en de praktijk, specifiek vertaald naar de opgaven en oplossingen voor professionals die zich bezighouden met privacy en informatiebeveiliging.
Bijlenga, die in zijn keynote inzoomt op de uitvoering van effectieve data protection impact assessments (DPIA's), ziet de dynamiek van organisaties als een grote uitdaging voor het risicomanagement rondom privacy. "Organisaties zijn niet statisch, maar juist continu in verandering. Dat is van invloed op AVG-compliance. Je wilt voorkomen dat je achter de feiten aanloopt, maar dat is alleen mogelijk als je steeds de risico's monitort en adresseert."
Ook de veranderende wet- en regelgeving maakt risicomanagement ingewikkeld, zegt Rossen, die tijdens de L2P-kennisdag vertelt over de risico's van AI. "De wet- en regelgeving rond AI is sterk in ontwikkeling, en de concrete implicaties voor AI-toepassingen zijn soms moeilijk te doorgronden. Wat gebeurt er precies met data die AI-modellen verwerken? Hoe worden de gegevens gebruikt die we delen met AI-bots zoals ChatGPT? Op welke manier worden data waarmee algoritmen worden getraind ook weer verwijderd? Aan welke eisen moeten de leveranciers van AI-systemen voldoen, en hoe toets je dat als gebruiker? Je moet zorgvuldig afwegen of je de risico's van een AI-gebaseerde oplossing accepteert, of dat je kiest voor een oplossing waarvan de impact op dataprotectie en informatiebeveiliging al beter bekend is. Soms wegen de risico's zwaarder dan de gouden bergen die AI belooft."
Boon deelt tijdens de L2P-kennisdag de do's & dont's van integraal en operationeel risicomanagement. "De opgave is om de aanpak behapbaar te houden. Waar liggen de grootste risico's? Hoe weeg je verschillende soorten risico's tegen elkaar af? Hoe kan je risico's goed inschatten? Voor veel elementen van een risicoanalyse kan je immers niet een zuiver rekenkundige toets maken, maar geldt een subjectieve beoordeling."
Aan de slag met risicomanagement
"Een DPIA is veel meer dan een checklist voor AVG-compliance", zegt Bijlenga over de boodschap die hij deelnemers aan de L2P-kennisdag wil meegeven. "De guidance van de Europese privacytoezichthouders en de Autoriteit Persoonsgegevens geeft een overzicht van verwerkingen met een groot risico voor de rechten en vrijheden van betrokkenen. In de praktijk bestaat de neiging om de lijstjes te gebruiken als een checklist om te bepalen of een DPIA nodig is. Maar een DPIA betekent in essentie dat je nadenkt over de mogelijke gevolgen van een verwerking voor de betrokkenen."
"Risicomanagement geeft je handvatten om de juiste acties en de effectieve inzet van mensen en middelen te bepalen", vult Boon aan. "Zo is de organisatie in staat om de doelen te halen én te voldoen aan de wet- en regelgeving en normenkaders. Goed risicomanagement is daarmee een business enabler."