Cybermythe ontkracht: niet IT maar mensen zijn de sleutel voor privacy

21 november 2017 Consultancy.nl

Aangezien de risico’s op cybercrime toenemen en de boetes van toezichthouders voor het niet naleven van privacyrichtlijnen volgend jaar explosief stijgen, staat privacy nu definitief op de bestuursagenda van organisaties. Hoewel de meeste aandacht bij cybersecurity naar IT-infrastructuur en technische cybercapaciteiten gaat, lijkt nieuw onderzoek de mythe te ontkrachten dat privacy puur een IT-vraagstuk is. Het advies om ‘cyberproof’ te worden: zorg er vooral voor dat – naast het voldoen aan de basisvoorwaarden – de eigen medewerkers privacybewust en -compliant zijn.

Consultancybureau Verdonck, Klooster & Associates (VKA) en platform voor de informatiesamenleving ECP hebben 97 deelnemers, waarvan 47% uit de private en 53% uit de publieke sector, gevraagd om hun perspectief te delen op de status van het privacylandschap in Nederland. De onderzoekspopulatie bestaat onder meer uit Privacy Officers (35%), bestuurders en managers (14%), juristen (13%) en verschillende IT-functionarissen, van IT-professionals tot Information Security Officers.

Het onderzoeksrapport, getiteld ‘Nationale Privacy Benchmark 2017’ (NPB 2017), toont aan dat de respondenten overduidelijk van mening zijn dat de bescherming van persoonsgegevens de komende jaren een expliciete prioriteit zal zijn voor hun organisaties. De bevinding bouwt voort op de resultaten van de voorgaande edities van de studie – ook in 2015 en 2016 werd de bescherming van persoonsgegevens al door meer dan 90% van de deelnemers als expliciete prioriteit benoemd.

Wat is de belangrijkste aanleiding om persoonsgegevens te beschermen

Volgens de onderzoekers blijkt het beschermen van persoonsgegevens voornamelijk een hygiënefactor te zijn. “Iets wat een organisatie doet, gewoon omdat zij een verantwoordelijkheid heeft of aan een wettelijke verplichting moet voldoen.” Interessant is dat 40% van de respondenten benadrukt dat het beschermen van persoonsgegevens een wettelijke plicht is, terwijl meer dan de helft (54%) deze bescherming ziet als onderdeel van hun verantwoordelijkheid. In Nederland kennen we momenteel al de privacywet (Wet Meldplicht Datalekken), maar volgend jaar mei zal deze ingrijpend veranderen en worden aangescherpt als de Europese General Data Protection Regulation (GDPR) in werking treedt. De Nederlandse adaptie van de GDPR, de Algemene Verordening Gegevensbescherming (AVG), introduceert strengere procedures en richtlijnen waaraan organisaties moeten voldoen op het gebied van gegevensbescherming. Niet voldoen aan de strengere regelgeving kan grote gevolgen hebben: toezichthouders kunnen boetes opleggen van €20 miljoen of tot maximaal 4% van de wereldwijde omzet.

De omvang van deze verandering kan worden geïllustreerd aan de hand van een recent groot datalek bij Hilton Hotels. De hotelketen – die tot de grootsten ter wereld behoort – ontving een boete van $700.000 voor dataverlies, waarbij persoonsgegevens van klanten waren gelekt. Als de GDPR – die ook geldt voor organisaties van buiten de EU – al was ingevoerd, had deze boete maar liefst $420 miljoen kunnen bedragen. Verdere illustratie wordt gegeven door een analyse van Oliver Wyman, waarin werd becijferd dat Britse beursgenoteerde bedrijven een financieel risico van maar liefst $5 miljard lopen wat betreft GDPR-boetes, als zij niet snel stappen ondernemen om hun gegevensbescherming te verbeteren.

Heeft de verwoorde omgang met persoonsgegevens de komende drie jaar een expliciete prioriteit voor uw organisatie

Interessant is dat 54% van de respondenten vindt dat de hoogte van de boetes overtrokken zijn, maar dat ze wel helpen om het onderwerp op de kaart te zetten. De boetes bij schending van de privacywetgeving zijn regelmatig punt van discussie, waarbij iets meer dan een derde (35%) het eens is met de hoogte van de boetes. 6% verwacht dat de boetes toch niet zullen worden opgelegd, terwijl 5% van mening is dat de boetes nog hoger mogen. Volgens de onderzoekers zijn de mensen die deze extreme antwoordcategorieën hebben ingevuld voornamelijk werkzaam in de publieke sector.

Het onderzoek toont verder aan dat aanleidingen die uitgaan van een meer intrinsieke belangstelling, zoals ‘vraag van klanten’ en ‘helpt positief profileren’ geen stuwende factor blijkt voor privacy. In nog geen 10% van de gevallen vormt dit de aanleiding om aan de slag te gaan met de gegevensbescherming.

Einde van een mythe?

Gekeken naar de belangrijkste risico’s op het vlak van privacybescherming – de meerderheid van de privacyschendingen bestaat uit online datalekken – hebben de onderzoekers ontdekt dat het niet de IT-infrastructuur, maar de eigen werknemers zijn die het grootste risico vormen. 94% van de respondenten ziet het onzorgvuldig menselijk handelen als het belangrijkste cyberrisico. “Dit lijkt definitief de mythe te ontkrachten dat technische maatregelen afdoende zijn om persoonsgegevens te beschermen”, aldus Frank van Vonderen, Partner bij VKA, in een reactie op de onderzoeksresultaten.

De vondst van VKA en ECP weerspiegelt de resultaten van een soortgelijk onderzoek dat vorig jaar werd gepubliceerd in de UK. Uit dit onderzoek van executive searchbureau Norrie Johnston Recruitment bleek dat slechte gewoonten van werknemers – het openen van verkeerde bijlages of het laten slingeren van een USB-stick met vertrouwelijke gegevens – het grootste risico voor cybersecurity vormen.

Welke aspecten vormen een belangrijk risico op het vlak van privacybescherming

Daarnaast scoort in de NPB 2017 opnieuw het organisatorische risico ‘gegevens worden te veel en te lang bewaard’ hoog met 73%, net als in 2015 en 2016. Dit is echter een complexer vraagstuk, aldus Van Vonderen, aangezien de neiging om te veel data te lang te bewaren hardnekkig is en het verwijderen van data in strijd is met andere ontwikkelingen, waarbij veel data wordt verzameld om deze ook later te kunnen correleren. De opkomst van geavanceerde data analytics heeft ervoor gezorgd dat organisaties hongerig zijn naar data en het liefst continu hun data doorspitten, of ‘minen’, op zoek naar commerciële kansen en verbeterde interne besluitvorming.

Ook de afhankelijkheid van leveranciers en ketenpartners is een erkend risico voor twee derde van de deelnemers. De privacywetgeving vraagt niet alleen dat verantwoordelijke, verwerker en subverwerker helder naar elkaar zijn over de verwachtingen en afhankelijkheden op het punt van adequate bescherming van persoonsgegevens. Ook vereist de wet dat men onderling toeziet op de feitelijke uitvoering van afspraken.

In het onderzoek werd tevens gekeken naar verantwoordelijkheden voor privacy en de inrichting van data governance bij organisaties. De resultaten tonen aan dat privacy over de hele linie, met een enkele uitzondering, gezien wordt als de verantwoordelijkheid van verscheidene stakeholders, waaronder ook iedere werknemer van de organisatie. Ten opzichte van 2015 en 2016 zijn de verantwoordelijkheden in 2017 beter belegd bij de directie en bij de Functionaris Gegevensbescherming (FG). Deze rollen zijn bij bijna twee derde van de organisaties belegd, wat volgens onderzoekers een duidelijke stap voorwaarts is ten opzichte van de NPB 2016 - toen was de rol van de FG bij slechts 35% van de organisaties belegd en de overall verantwoordelijkheid bij 44%.

Bij een meerderheid van de deelnemers (54%) is het uitleggen van de verantwoordelijkheden aan medewerkers nog een aandachtspunt. Deze uitleg is een cruciaal onderdeel van een robuuste gegevensbescherming, aldus Van Vonderen: “Het goed beleggen van de rollen en verantwoordelijkheden is een belangrijke randvoorwaarde om als organisatie effectief de benodigde acties te kunnen beleggen. De benchmark laat zien dat deze taken en rollen ten dele zijn belegd, maar dat er ook nog wel het nodige is te doen.”

In hoeverre weet u waar de persoonsgegevens binnen uw organisatie worden gebruikt

Data governance is een ander belangrijk aandachtspunt, aldus de partner. Een van de basisvoorwaarden voor een goede bescherming van persoonsgegevens is dat een organisatie weet waar zich persoonsgegevens bevinden. In 2016 had twee derde hiervan geen goed beeld. In 2017 is op dit punt verbetering zichtbaar, al constateert meer dan de helft (60%) dat het beeld nog niet volledig is.

Van Vonderen geeft echter toe dat dit een aanzienlijke uitdaging is. Persoonsgegevens kunnen zich in allerlei specifieke systemen (bijvoorbeeld HR- of klantensystemen) bevinden. De HR-afdeling speelt hierin een belangrijke rol, aangezien de afdeling toegang heeft tot misschien wel de meest persoonlijke data: persoonsgegevens, salarisstrookjes, performance management, arbeidsverleden, et cetera. Maar veel HR-afdelingen worstelen niet alleen met het weten waar data opgeslagen is, maar ook met überhaupt voldoende aandacht aan privacy en beveiliging besteden.

Daarnaast komen persoonsgegevens vaak voor in generiek ondersteunende voorzieningen zoals mail-, office- en documentmanagementsystemen. “Het traceren van persoonsgegevens in dergelijke ondersteunende systemen is een enorme uitdaging omdat dit vaak ongestructureerde gegevensverzamelingen zijn.” Daarbovenop komen nog alle soorten incidentele dataverzamelingen, zoals eenmalige klantenonderzoeken, de medewerkerslijst voor de kerstpakketten, sollicitatiebrieven, et cetera, die privacygevoelige data bevatten, maar vaak buiten het blikveld van de organisatie vallen.

Welke verantwoordelijkheden voor privacy zijn binnen uw organisatie goed belegd

Toenemende risico’s

Met het oog op de toekomst, voorspellen de onderzoekers dat privacy een steeds belangrijker thema zal worden voor bestuurders en tot meer kopzorgen zal leiden. Ten eerste geeft de helft (48%) van de respondenten aan dat zij verwachten dat het aantal datalekken zal toenemen. 38% verwacht dat het aantal lekken zelf niet zal toenemen, maar wel de negatieve publiciteit die daarop volgt. Volgens hen zijn data-incidenten van alle tijden sinds de start van de digitale era, maar is er nu grotere kans op openbaarmaking. Yahoo verloor in een datalek in 2013 de gegevens van drie miljard klantaccounts, wat leidde tot een storm in de media. Onder GDPR/AVG zou dergelijk nieuws verder worden versterkt door de hoogte van de boete die hiervoor zou worden gegeven – een geschat bedrag van bijna $200 miljoen (4% van de wereldwijde jaaromzet in 2013).

Het goede nieuws is dat driekwart van de onderzochte bedrijven aangeeft dat ondanks het toegenomen risico dat zij in het vooruitzicht hebben, vertrouwen hebben in de eigen organisatie.

Gerelateerd: Nederlanders maken zich opvallend weinig zorgen over cybersecurity.

Nieuws

Meer nieuws over