Overzicht
Actueel
17 March 2017
Samenwerking tussen publieke en private sector: het dilemma van delen

In eerdere blogs keken we onder meer naar veranderingen die je organisatie toekomstbestendig kunnen maken. Hoe films en documentaires een rol kunnen spelen in het verhogen van het informatiebewustzijn. En of er tijdens de Tweede Kamerverkiezingen 2017 voldoende aandacht was voor het onderwerp privacy. Vandaag stellen we de vraag of samenwerking tussen de publieke en private sector het niveau van informatiebeveiliging kan verbeteren.

Toezicht op privacy

Overheden staan niet altijd bekend als grote voorloper wanneer het gaat om trends en innovaties in onze moderne digitale omgeving. Technologische ontwikkelingen hebben doorgaans hun katalysator in de private sector. Toch komt ook in de publieke sector het belang van information security steeds meer naar de voorgrond.

Op 1 januari 2016 werd de controle op de Wet bescherming persoonsgegevens (Wbp) de taak van de Autoriteit Persoonsgegevens (AP). Alle bedrijven en overheden die persoonsgegevens verwerken zijn sinds die datum wettelijk verplicht om een ernstig datalek direct bij het AP te melden. Daarnaast heeft het orgaan boetebevoegdheid, wat betekent dat overtredingen nu financieel belast kunnen worden. Boetes voor het niet voldoende volgen van de wetgeving of het niet melden van een ernstig datalek kunnen momenteel oplopen tot 820.000 euro.

Informatiebewustzijn: preventief of achteraf?

Naast voorlichting over privacyvraagstukken en het verhogen van informatiebewustzijn bij bedrijven en consumenten zijn onderzoek en handhaving daarmee steeds belangrijker geworden. Europese privacyrichtlijnen zijn gedateerd, omdat ze opgesteld werden toen internet nog in de kinderschoenen stond. Ze zijn daarom de afgelopen jaren stevig herzien, en vanaf 25 mei 2018 zal de algemene verordening gegevensbescherming (AVG, of General Data Protection Regulation GDPR) van kracht zijn. Er geldt dan nog maar één privacywet in de gehele EU, die in Nederland de Wbp zal vervangen. De AVG moet zorgen voor versterking en uitbreiding van privacyrechten, meer verantwoordelijkheden voor organisatie en dezelfde stevige bevoegdheden voor alle Europese privacytoezichthouders.

Samenwerking

Het is goed dat de Autoriteit Persoonsgegevens de tanden stevig in privacybescherming zet en er op Europees niveau duidelijke nieuwe richtlijnen liggen. Handhaving en preventie door middel van boetes - consequenties die er in ieder geval op directieniveau voor zorgen dat informatiebeveiliging belangrijker gemaakt wordt - kunnen een positief effect hebben. Tegelijkertijd valt er nog steeds veel te winnen op het gebied van voorlichting. Het feit dat informatiebeveiliging zo verweven is in het digitale leven van alledag, maakt de taak om alle potentiële risico’s af te dekken veel groter dan één enkele organisatie – of dat nou een overheidsinstantie of een commercieel bedrijf is. Hoe kunnen de publieke en private sector daarin samenwerken om informatiebeveiliging te verbeteren?

Het dilemma van delen

Onderzoeksresultaten en inzichten van een orgaan als de AP zullen in de eerste plaats zo transparant mogelijk gedeeld moeten worden met de private sector. Hoewel het leermoment (en de stevige boete) wellicht te laat komt voor een bedrijf dat zijn informatie niet voldoende beveiligd heeft, kan het voor de sector belangrijk lesmateriaal zijn. Het is immers niet alleen een blauwdruk van gaten in de digitale muur, maar ook welke gereedschappen en tactieken kwaadwillenden gebruiken om een nieuwe bres te slaan. Essentiële informatie voor de IT-afdeling van andere organisaties, die tevens bijdraagt aan het niveau van informatiebewustzijn. Omdat er risico's aan het licht komen die wellicht nog niet bekend waren.

Tegelijkertijd moeten we niet vergeten hoe vaak het om 'onschuldige' menselijke fouten gaat, met potentieel grote gevolgen. Een datalek is niet per definitie een misdaad. Een laptop in de auto laten liggen, een usb-stick achterlaten in de trein, of gevoelige informatie in een papierbak naast de printer. Situaties die net zo goed als leerzaam ingezet kunnen worden.

Wil je meer weten over onze visie of aanpak, of benieuwd naar andere informatie? Neem dan contact op met Arthur Timmerman
Neem contact op
Autoriteit Persoonsgegevens als intermediair

Informatie uitwisselen is uiteraard geen eenrichtingsverkeer. Bedrijven moeten op hun beurt bevindingen en beveiligingsmethodes kunnen delen met de overheid. Bedreigingen en risico’s die organisaties ervaren zijn universeel, omdat cybercrime niet discrimineert naar bedrijf, sector of nationaliteit. Hetzelfde geldt voor menselijke fouten. Privacybewuste bedrijven hebben baat bij alle beschikbare informatie. In de praktijk is dat echter gemakkelijker gezegd dan gedaan. Bedrijven zijn terughoudend in het delen van interne informatie. Er zou eigenlijk voorzien moeten worden in een veilige omgeving. De AP niet alleen als meldpunt van datalekken, maar ook als platform voor veilige en constructieve uitwisseling van informatie.

Het delen van kennis en informatie in geval van criminaliteit of terrorisme is standaard geworden, zowel doorheen overheidsorganisaties en –niveaus als over landsgrenzen. De voornaamste reden is het besef dat één plus één optelt tot drie, en dat één enkele organisatie of instantie niet groot genoeg is om het probleem aan te pakken. Opvallend genoeg is dat op het gebied van information security nog verre van gebruikelijk. Terwijl juist daar een sleutel kan liggen tot structurele verbetering.

Kijk ook eens naar

Praktijkvoorbeelden
Een overzicht van onze praktijkvoorbeelden.
Security Awareness Engine
De spil in jouw security awareness programma.
Nulmeting
Awareness in cijfers het kan echt.