Informatiebeveiliging en privacybescherming: twee werelden, één proces

3 min.

Gemeenten, maar ook private organisaties, hebben door wet- en regelgeving steeds meer uitdagingen op het gebied van zowel informatiebeveiliging als privacybescherming. Uitdagingen in twee verschillende werelden die tegelijkertijd meer verbonden zijn dan ooit. Rutger Pouwels, productowner ISMS/PMS bij Pepperflow, vertelt over de connectie en de kracht van een procesgerichte aanpak, als beide werelden samenkomen.

Informatiebeveiliging en privacybescherming: twee werelden, één proces

Elke dag voeren gemeenten honderden activiteiten uit om bij te dragen aan de dienstverlening en bedrijfsvoering van de organisatie. Denk bijvoorbeeld aan het verwerken van een aanvraag voor een gehandicaptenparkeerplaats, het beoordelen van een melding leerplichtverzuim of het uitvoeren van heffing op hondenbelasting. Deze activiteiten maken allemaal onderdeel uit van een eigen proces. Hier dus respectievelijk: Parkeervergunning, Leerplichtverzuim en Hondenbelasting.

Informatiebeveiliging ontmoet privacybeleid
Om te zorgen dat de juiste informatie beschikbaar is in een proces, treft een gemeente in het kader van informatiebeveiliging maatregelen om die informatie te waarborgen. Daar waar het om de verwerking van gegevens van personen gaat, moeten er met het oog op privacybescherming aanvullende maatregelen worden getroffen.

Omdat er nu eenmaal veel verwerkingsactiviteiten zijn, wordt er vanuit privacy vaak eerst binnen het hele proces gekeken wie welke persoonsgegevens gebruikt. Deze informatie wordt vervolgens vastgelegd binnen het register van verwerkingsprocessen. Daarnaast worden de organisatorische maatregelen vanuit de informatiebeveiliging op hun beurt vaak op een bundeling van processen toegepast. Dit gebeurt dan door afdelingen die verantwoordelijk zijn voor een set aan processen. 

Anders denken
Informatie- en privacybescherming gebeurt hierdoor op samengevoegde processen. Maar dat kan ook anders!

Laat eens de procesbeheerder op een lager niveau naar zijn proces kijken! Bijvoorbeeld, door per verwerkingsactiviteit te controleren of de juiste gegevens worden ingezien door de juiste personen. Door binnen het proces te onderzoeken of er wel duidelijk functiescheiding wordt toegepast of de juiste autorisaties zijn toegepast. Daarnaast kan een procesbeheerder beoordelen of er maatregelen zoals dataminimalisatie of doelbinding moeten worden toegepast.

Door procesgericht de organisatorische maatregelen te implementeren komen de werelden van informatiebeveiliging en privacy dichter bij elkaar. Het in kaart brengen hiervan zal een tijdrovende klus zijn, maar het zorgt ervoor dat de risico’s op de informatie beter kunnen worden beheerst en de proceseigenaren beter weten welke informatie zij binnen hun proces in beheer hebben.

Kleine stappen
Het beveiligen van informatie en beschermen van alle persoonsgegevens kost uiteindelijk veel tijd en aandacht. Maar door op een te hoog abstractieniveau te werken is het lastig iets zinnigs te zeggen over de status van de normen.

Begin daarom liever met kleine concrete stappen want daarmee bereikt u echte resultaten! Zo komt uw organisatie vooruit. Met een procesgerichte, digitale werkwijze ontstaat er een geïntegreerde en overzichtelijkere situatie. Zo krijgt u grip op informatiebeveiliging en privacy. Beter één vogel in de hand dan tien in de lucht!

Meer weten?
Privacy- en informatieveiligheidsprocessen blijven een uitdaging voor overheidsinstanties, zeker voor die laatste, met de BIO voor de deur. Wilt u eens van gedachten wisselen over informatiebeveiliging of privacy in uw organisatie? Of bent u op bijvoorbeeld nog op zoek naar een manier om uw processen digitaal vorm te geven? Ook goede GRC-tooling kan het verschil maken. Neem dan vrijblijvend contact met mij op en ik denk graag met u mee.