Privacybescherming, we doen het met elkaar!
Weblogs
Bert Lankester werkt als Privacy & Security Officer voor geheel O&P Rijk en de onderliggende Business Units (BU’s). Opgegroeid in Nieuw Zeeland met wortels in Nederland vanwege een Australische vader en een Hollandse moeder. Gewoond op Curaçao en getrouwd met een Schotse. Bert is dus multicultureel ingesteld al voelt hij zich nog altijd een beetje ‘Kiwi’ tussen alle ‘Kaaskoppen’ ondanks dat hij op 14 jarige leeftijd naar Nederland emigreerde.
Op zijn 20ste mocht hij zijn dienstplicht vervullen bij het Korps Commando Troepen en hij is daarna nog jaren beroepsmilitair geweest bij het Korps Mariniers. "Bij Defensie heb ik dus een ‘heropvoeding’ gehad waar ik genoten heb van trainingen, uitzendingen, bijzonder dienend leiderschap (leaders eat last), internationale samenwerkingen, saamhorigheid en kameraadschap heb mogen ervaren en een trots veteraan ben. Als mens . . . sterk ontwikkelde kernwaarden die altijd gericht zijn met een ‘can do’ mentaliteit en waarde toevoegen".
Wat voor achtergrond moet je hebben om privacy officer te kunnen worden? Is er een studie voor?
"Privacy Officers heb je in alle vormen, maten en leeftijden. Toch ben ik blij dat ik mijn gereedschapskist heb mogen vullen met het uitoefenen van functies zoals Projectmanager, leidinggevende en management consultant. Dat maakt van mij een ‘veranderaar’ waarbij ik gemakkelijk kan communiceren met techneuten, juristen, bedrijfsvoering adviseurs en managers".
"In 2017 heb ik post-HBO gedaan op Privacy Management (CIPM) en ben gecertificeerd Functionaris Gegevensbescherming (Data Protection Officer). Je hebt diverse en hele mooie opleiding binnen mijn vakgebied. Privacy Officers stromen vaak door uit de IT (informatiebeveiliging), rechten (privacyrecht) en bedrijfskunde. De vooropleiding is niet heel relevant, maar juridische kennis op hbo- of wo-niveau is wel erg belangrijk".
Waar komt je fascinatie voor dit vakgebied vandaan?
"Het is in één woord PRACHTIG! Als Privacy & Security Officer zie ik erop toe dat O&P Rijk en alle betrokken Business Units de privacywetgeving naleven en ook dat de informatiebeveiliging in een continu verbeterproces naar een hogere maturiteit komt. Dat bereik je door collega's te adviseren, workshops te geven (heerlijk interactief voor de klas staan) en de directie te ondersteunen in het uitvoeren van het privacy- en informatiebeveiligingsbeleid. Ik kom dus door de hele organisatie heen en beweeg mij op zowel op strategisch, tactisch en operationeel niveau. Dáárom is het zo belangrijk dat onze bedrijfsvoering goed op orde is zodat wij onze (gespecialiseerde) dienstverlening kwalitatief en bovenal veilig kunnen verrichten. De werkagenda van staatsecretaris Van Huffelen geeft ons wind in de zeilen t.b.v. de digitalisering die in moordend tempo plaatsvind. Never a dull moment"!
Het lijkt alsof een privacy officer vooral dingen moet ‘verbieden’ omdat anders de privacy in gevaar komt. Hoe ga je daarmee om? Hoe kweek je begrip voor jouw positie?
"Verbinding maken" antwoord Bert direct. "Uitleg geven en kennis verrijken. De AVG (privacywetgeving) verbiedt namelijk niks want de verordening zegt dat je het goed moet regelen en beschermen. Daarnaast is privacybescherming een grondrecht en een voorwaarde om vrij te zijn in wie je bent en wat je doet. Het recht tot privacy is ook helemaal niet nieuw want in 1890 publiceerden advocaten Samuel Warren en Louis Brandis "The Right to Privacy" in de Harvard Law Review. In dit grote artikel werd gepleit voor een wettelijk recht op privacy. Waarom? Omdat de kranten een nieuwe technische uitvinding gingen gebruiken en inzetten, namelijk de fotocamera. De commotie in die tijd! Zet dat nu in het licht van de smartphone en data is opeens goud waard. Aan de AVG zal je moeten voldoen. Als je die inspanning toch moet doen, probeer het dan te vertalen naar kansen.
Je schrikt vast wel eens van het gebrek aan medewerking/inzicht van medewerkers. Heb je mooie anekdotes of leerzame inkijkjes voor ons?
"Mijn vakgebied brengt ontzettend veel integriteit met zich mee. Integriteit heeft voor ons team 2 definities namelijk:
- Integriteit is de persoonlijke eigenschap, karaktereigenschap, van een individu die zorgt dat de betrokkene eerlijk en oprecht is en niet omkoopbaar;
- Het is een kwaliteitskenmerk van data in de wereld van informatiebeveiliging. Betrouwbaar, juist, volledig, tijdig en geautoriseerd.
Het waarborgen van gedrag binnen de organisatie in relatie tot beschikbaarheid, integriteit en vertrouwelijkheid van data is echt een opgave. In de huidige digitalisering zie ik het ook als verantwoordelijk dat iedereen mee kan komen. We hebben echt een populatie die nog niet of onvoldoende ‘digifit’ is maar natuurlijk ook ‘tech savvy’ mensen om ons heen (hackers). Jij als individu bent niet vaak het doel tijdens je werk, wel in privé trouwens.
Het doel van kwaadwillende is vaak heel anders dan waar jij data of persoonsgegevens voor hebt verzameld en mogelijk niet veilig genoeg hebt bewaard. Om een voorbeeld te noemen; wij hebben collega’s werken in Penitiaire Inrichtingen (PI) waarin duistere figuren het gemunt hebben op de gegevens van 155.000 ambtenaren om hen onder druk te zetten of te chanteren. Ik kijk dus niet vaak naar het persoonlijk doel van een collega maar wat ik met de verzamelde gegevens kan aanrichten.
Dat is natuurlijk een beetje een beroepsdeformatie, snap ik, maar als ik laat zien dat ik met gemiddeld 53 seconden in jouw smartphone kan komen en welke schade ik dan kan aanrichten in jouw dagelijks bestaan . . . dan voel jij je opeens heel kwetsbaar. Dus, bescherm jezelf maar ook je collega’s en ga niet te makkelijk om met partijen buiten de Rijksoverheid of “gratis” software. Het is niet gratis, jij bent het product of de toegang tot meer".
"Aan de AVG zal je moeten voldoen. Als je die inspanning toch moet doen, vertaal het dan naar kansen"
Wat wij zelf tegenkomen in de dagelijkse praktijk is dat het tegenwoordig lijkt dat je voor elk gebruik van persoonsgegevens toestemming moet vragen, of valt dat in de praktijk wel mee? Als het gaat om personeel, dan wordt er nogal wat aan persoonsgegevens verwerkt.
Bert vindt dit een goede vraag. "Het valt zeker niet mee! Het vragen van toestemming voor de verwerking van persoonsgegevens moet worden gezien als ‘last resort’. Zie het als de vluchtstrook op de snelweg, fijn dat die er is maar je wilt er niet staan want dan heb je problemen. Vanuit de telecomwet is iedereen wel bekend met de opt-in / opt-out procedure van de “vervelende” cookieverklaringen van websites. Maar toestemming geven moet dus een actieve en bewuste handeling zijn (een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting). Een organisatie/bedrijf moet dat ook nog eens kunnen bewijzen of aantoonbaar maken. Daar komt bij, waar je vandaag toestemming voor geeft kun je morgen weer intrekken. Dat is immers jouw recht.
Mijn advies:
- Verwerkt O&P Rijk persoonsgegevens ga dan na op basis van welke grondslagen de persoonsgegevens worden verwerkt, of deze grondslagen de juiste grondslagen zijn én of er nog aanvullende wettelijke eisen hieraan gebonden zijn. Daarnaast, bepaal welke verwerkingen op deze grondslag worden gebaseerd, hoe je het intrekken hiervan faciliteert voor betrokkenen en welke gevolgen dit heeft voor de O&P Rijk organisatie.
- Zorg dat je de toestemming goed regelt. Liggen alle verwerkingsprocessen vast en is duidelijk wie daarvoor verantwoordelijk is? Maar ook het vervangen van oude hard- en software, het toepassen van verbeterde, nieuwe, (beveiligings) technieken en oplossingen. Allemaal mooie kansen om onze organisatie productiever en overzichtelijker te maken".
Heb je werknemers meegemaakt die zich beroepen op schending van de AVG door de werkgever? Hoe gaat dat in zijn werk, waar moet een leidinggevende dan rekening mee houden? En wat had dat voor gevolgen?
"Ja, regelmatig zelfs. Dat komt natuurlijk ook omdat wij in een P-Domein dienstverlening uitvoeren. We zijn groothandelaar in persoonsgegevens en moeten juist daarom extra waakzaam zijn. Toch schat ik in dat niet iedereen de weg (nog) weet te vinden naar ons team of dat de schending of klacht via een andere route wordt behandelt of afgedaan. Voor iedereen maar vooral leidinggevenden; maak melding en betrek z.s.m. de Privacy Officer! Soms zijn we er voor ‘damage control’ maar altijd met de insteek dat we als organisatie hiervan (willen) leren en het dus beter doen".
"De gevolgen? De AP kan een boete opleggen aan organisaties die de AVG overtreden. Een boete is maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. Maar eerlijk, ik vind de gevolgen van imago-schade of negatieve publiciteit mogelijk nog erger. Ik ken bedrijven, en eigenaren daarvan, die na 20 jaar keihard werken hun bedrijf konden opdoeken door één hack of datalek. Vertrouwen van de klant verloren, geen inkomsten meer, stress thuis en zelfs een huwelijk kapot. Maar we kennen inmiddels allemaal wel de negatieve verhalen, datalekken of incidenten rondom de (Rijks)overheid".
"Wat volgens mij nog veel beter kan en moet is de ‘verantwoordingsplicht’. Een weinig besproken consequentie van het non-compliant zijn met de AVG is de bestuurdersaansprakelijkheid. Correcte naleving van de AVG is uiteindelijk de verantwoordelijkheid van de bestuurder. De AP heeft derhalve de mogelijkheid om de bestuurders van een organisatie een persoonlijke boete op te leggen. Het niet melden van een datalek wanneer dit wel verplicht was, kan een grondslag vormen om als bestuurder persoonlijk aansprakelijk gesteld te worden".
"Dat zet ons team/mijzelf soms in een benarde positie. De FG van BZK heeft, als handhaver van de wet, een beschermd beroep. Wij niet. Dus ik ben enerzijds het verlengstuk van de FG of de CISO BZK maar anderzijds vertegenwoordig ik de O&P Rijk organisatie. Tja, ben ik dan een “lastig mannetje”? Nee, ik stel wél lastige vragen en stel mogelijk confronterende analyses op. Maar maak van mij geen ‘klokkenluider’ door bewust nalatig te zijn of een hoog of zwaarwegend (risico = kans x impact) risico te accepteren als dit niet kan want mijn integriteit blijft immer hoog. Comply or Explain.
Wat is het eerste dat je moet doen bij een datalek? En wat is een datalek of wat kan al een datalek zijn? Men denkt vaak dat een datalek groots en meeslepend moet zijn, maar dat is volgens ons niet zo. Hebben wij überhaupt datalekken bij O&P Rijk gehad?
"Datalekken ook zo’n belangrijk onderwerp, hier is zelfs een meldplicht! Het taboe of fabel dat je ontslagen wordt als je een datalek meldt of veroorzaakt is natuurlijk nonsens, zeker arbeidsjuridisch. Maar moet ik helaas nog veel te vaak zeggen: Melden, altijd doen"!
"Bij een datalek gaat het om vernietiging, verlies, wijziging, of het delen van persoonsgegevens zonder dat dat de bedoeling was. Het ‘probleem’ of ‘fout’ zit dan ook vaak tussen het beeldscherm en de rugleuning. Het meest voorkomende type datalek is het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger (65% van de meldingen). Dit kan bijvoorbeeld een mail of brief met gevoelige gegevens zijn die bij de verkeerde persoon terecht is gekomen en is geopend. Andere voorbeelden: cyberaanvallen (incl. ddos-aanvallen), e-mails verzonden naar verkeerde of te veel adressen, gestolen laptops, bestanden die worden verzonden naar privé omgeving van werknemers (makkelijk even printen thuis, toch?) en verloren USB-sticks".
"Bij een melding doen we onderzoek en creëren we overzicht op de situatie of het incident. We nemen maatregelen of adviseren welke maatregelen jij onmiddellijk moet nemen (op basis van het risico). Soms moeten we een risico analyse uitvoeren of een impact assessment maken. Daarnaast bepalen we of we melding moeten doen aan de Autoriteit Persoonsgegevens (AP) en we leggen het vast in ons register. In sommige gevallen moeten ook de betrokkenen (de personen van wie gegevens worden gelekt) op de hoogte worden gebracht".
"En ja, we hebben behoorlijk wat datalekken bij O&P Rijk maar helaas wordt dit in nog veel gevallen niet gemeld. Bij sommige BU’s staat zelfs de teller op nul, onmogelijk. Gemiddeld verwacht ik 5 stuks per maand per organisatieonderdeel".
Laatste vraag: Wat hebben wij niet gevraagd dat jij nog graag wilt vertellen?
"Nodig ons alsjeblieft uit om presentaties/workshops te geven om ‘awareness’ (bewustzijn) te vergroten. Niet alleen leuk om met elkaar te beleven want er is altijd interactie en er zijn veel vragen, ook leerzaam. Zowel voor de werkomgeving maar ook privé of thuissituatie".
"We zijn al een tijdje aan het lobbyen om bij het ‘onboardingsproces’ tijd te krijgen om nieuwe medewerkers wijs te maken in de wereld van privacybescherming en informatiebeveiliging. Het ‘offboardingsproces’ is ons hoofdpijndossier: rechten en autorisaties op systemen van mensen die vertrokken zijn, accounts die nog actief zijn, toegangspassen die niet zijn ingenomen, vervuiling van data op onze netwerkschijven . . . je kunt het zo gek niet bedenken. Ik kom zelfs medewerkersprofielen tegen die al jaren met pensioen zijn. Helaas stuurt onze organisatie nog onvoldoende een dergelijke bewustzijnscampagne. In de praktijk is gedrag allesbepalend en zijn medewerkers de belangrijkste schakel maar voelen leidinggevenden zich nog onvoldoende eigenaar van het onderwerp ‘privacy’. Als medewerkers top-down wordt opgelegd hoe zij moeten handelen, gaat het vroeg of laat fout. Zeker als processen en context veranderen in het tempo waarin O&P Rijk en onze dienstverlening verandert. Iedereen heeft daarin een rol én verantwoordelijkheid en samen zijn we de ‘human firewall’.
"Goed omgaan met ieders privacy is een randvoorwaarde voor een goede reputatie van O&P Rijk. Het is een manier om onze klanten aan ons te binden. Het gaat om zorg, aandacht en kwaliteit. Medewerkers voelen zich daar meer door aangesproken dan door een AVG ‘omdat het moet’. Ook ethiek speelt hierbij een belangrijke rol: we doen dit niet omdat we het moeten, we moeten het vooral zelf willen. Zorgvuldig omgaan met de privacy van onze klanten binnen de Rijksoverheid, (externe) stakeholders en medewerkers is het enige juiste om te doen".
Gelukkig zit het bij juristen en advocaten al in de genen om met respect en analytisch vermogen om te gaan met wet- en regelgeving en hebben ze oog voor de complexiteit. Ze zijn wat minder ‘burgerlijk ongehoorzaam’ en hechten veel waarden aan zorgvuldigheid, integriteit en ethiek. Vanuit ons Privacy & Security Team waarderen we dat! Onze tijd wordt vaak opgesoupeerd door de zaken die fout gaan of mitigerende maatregelen die gerealiseerd moeten worden. Dan vergeten we soms ‘de beste jongetjes & meisjes uit de klas’ de positieve aandacht te geven die ze verdienen.
En met deze lovende woorden, sluiten we dit leerzame interview af!
Meer weblogberichten
Reactie toevoegen
U kunt hier een reactie plaatsen. Ongepaste reacties worden niet geplaatst. Uw reactie mag maximaal 2000 karakters tellen.
Reacties
Er zijn nu geen reacties gepubliceerd.