Risicoanalyse en de DPIA
Al meerdere malen heb ik vernomen dat het voor sommige organisaties onduidelijk is hoe ze precies om moeten gaan met de vragen rondom de beveiliging van persoonsgegevens tijdens een Data Protection Impact Assessment (DPIA). Vaak verneem ik dat tijdens een DPIA inhoudelijke vragen over de beveiliging worden behandeld. Is de autorisatie goed geregeld? Wat wordt gedaan om malware en hackers tegen te gaan? Zijn de gegevens op de juiste manier versleuteld? Hoewel dit goede vragen zijn, horen ze naar mijn idee niet thuis in een DPIA. Ze behoren in een risicoanalyse voor informatiebeveiliging (vanaf nu 'risicoanalyse'), wat iets heel anders is dan een DPIA. Slechts het resultaat van zo'n risicoanalyse neem je mee in een DPIA om de vraag of de persoonsgegevens voldoende zijn beveiligd, te kunnen beantwoorden.
Verschillen
Er zijn verschillende redenen om een risicoanalyse en een DPIA gescheiden te houden. Een belangrijke reden is dat een goede risicoanalyse al meer dan genoeg tijd kost. Door beveiligingsvragen inhoudelijk te bespreken tijdens een DPIA, krijgt artikel 32 waarschijnlijk onevenredig meer aandacht dan de andere AVG-artikelen, die net zo belangrijk zijn. Daarnaast is beveiliging meestal voor informatie in brede zin ingericht en niet specifiek voor persoonsgegevens. Dat maakt een risicoanalyse specifiek voor de beveiliging van persoonsgegevens niet efficiënt.
De andere belangrijke redenen zijn het verschil in denkwijze en manier van beoordeling die nodig zijn bij een risicoanalyse en een DPIA. Zo beoordeel je tijdens een DPIA de huidige of geplande situatie, terwijl je bij een risicoanalyse een inschatting maakt van een mogelijke situatie in de toekomst. Bij een risicoanalyse gaat om de beveiliging van bedrijfsinformatie, terwijl het bij een DPIA gaat om de rechten en vrijheden van de betrokkenen. In beide gevallen denk en werk je dus vanuit een heel ander perspectief. Het zou naar mijn idee goed zijn om de beveiliging van persoonsgegevens zodanig te kunnen samenvatten, zodat deze op dezelfde wijze kan worden beoordeeld als de overige onderwerpen die tijdens een DPIA aan bod komen. De manier om dat goed te kunnen doen, is door de risicoanalyse uit de DPIA te halen en deze apart uit te voeren.
Het gaat voor dit artikel te ver om alle verschillen inhoudelijk toe te lichten, maar voor de volledigheid staat hier onder een overzicht van de belangrijkste punten waarin de bescherming van persoonsgegevens (vanaf nu 'gegevensbescherming') en informatiebeveiliging, en daardoor dus ook de DPIA en de risicoanalyse, van elkaar verschillen.
Gegevensbescherming | Informatiebeveiliging | |
---|---|---|
Normenkader: | GegevensbeschermingAVG, UAVG | InformatiebeveiligingISO 27k, NEN 7510, BIO |
Naleving: | Gegevensbeschermingverplicht | Informatiebeveiligingpas toe of leg uit, keuze |
Onderwerp: | Gegevensbeschermingrechten en vrijheden | Informatiebeveiligingveiligheid van bedrijfsinformatie |
Doelgroep: | Gegevensbeschermingbetrokkenen | Informatiebeveiligingeigen organisatie |
Beoordeling: | Gegevensbeschermingrespecteren van privacy / wet | Informatiebeveiliginginschatting kans × impact van incident |
Moment: | Gegevensbeschermingnu of zoals gepland | Informatiebeveiligingmogelijke situatie in de toekomst |
Risicoacceptatie: | Gegevensbeschermingzo laag mogelijk | Informatiebeveiliginggoede afweging |
Risicocommunicatie: | Gegevensbeschermingtransparantie | Informatiebeveiligingvertrouwelijk |
De juiste aanpak
Voor een goede aanpak van risicoanalyses en DPIA's, is de volgorde waarin je deze zaken uitvoert belangrijk.
De eerste stap is het verkrijgen van goed zicht op je eigen informatiehuishouding. Artikel 30 van de AVG vereist het hebben van een overzicht van alle verwerking van persoonsgegevens. Waarom jezelf beperken tot persoonsgegevens? Waarom geen overzicht van alle bedrijfsinformatie? Waarom wel een personeelsadministratie, een financieel overzicht, maar geen informatieoverzicht, terwijl organisaties net zo afhankelijk zijn van bedrijfsinformatie als van personeel en geld. Maak dus werk van informatiemanagement. Maak een overzicht van alle bedrijfsinformatie, waarbij je per informatieonderdeel aangeeft of het persoonsgegevens betreft en wat de classificatie is van die informatie in termen van beschikbaarheid, integriteit en vertrouwelijkheid.
De volgende stap is het uitvoeren van een risicoanalyse. Kies de scope van de risicoanalyse, vraag bij informatiemanagement de metagegevens (classificatie van de informatie, naam verantwoordelijk manager, naam betrokken systemen, et cetera) over de betreffende informatie op en voer de analyse uit. De inhoud van de gegevens is daarbij niet relevant. Persoonsgegevens zijn dan gewoon 'vertrouwelijke gegevens'. Is recentelijk al een risicoanalyse uitgevoerd waarvan de resultaten nog steeds bruikbaar zijn, dan gebruik je die natuurlijk. Wat ik dus niet wil zeggen is dat een DPIA een nieuwe risicoanalyse vereist.
Pas na de risicoanalyse is de DPIA aan de beurt. Het is belangrijk dat er daarbij een evenwichtige verdeling is tussen de onderwerpen die besproken moeten worden. De beveiliging van persoonsgegevens is slechts een van de onderwerpen. Gebruik daarvoor de resultaten uit de risicoanalyse. Realiseer je dat een datalek in de basis een inbreuk is op de beveiliging en niet per se op de gegevensbescherming. Dat laatste is afhankelijk van de mate van beveiliging, wat los staat van of er een incident heeft plaats gevonden of niet.
Een gangbare aanpak is dat risicoanalyses alleen worden uitgevoerd als er sprake is van een hoog risico. Ook artikel 35 van de AVG stelt dat een DPIA alleen nodig is als een verwerking 'waarschijnlijk een hoog risico inhoudt'. Zelf ben ik van mening dat het altijd verstandig is om goed na te denken voordat je iets doet. Voer dus altijd een risicoanalyse en een DPIA uit, ongeacht het risico. De tijd die het kost haal je waarschijnlijk in met de incidenten die je ermee voorkomt.
Voorbij de grenzen
Informatiebeveiligers gaan niet over informationele privacy en de AVG en privacy professionals gaan niet over informatiebeveiliging. Echter, de vakgebieden gegevensbescherming en informatiebeveiliging, en ook informatiemanagement, zijn niet volledig op zichzelf staande vakgebieden. Ze hebben onderlinge raakvlakken. Om die reden ben ik in dit artikel over de grenzen van mijn eigen vakgebied gegaan. Ik ben er namelijk van overtuigd dat waar we ons in de toekomst op moeten richten om de afzonderlijke vakgebieden tot een succes te kunnen maken, is betere samenwerking. Dus, mochten jullie het nog niet doen, informatiebeveiligers, privacy professionals en informatiemanagers, ga eens regelmatig met elkaar om tafel zitten.