Informatiebeveiliging versus gegevensbescherming: de verschillen
De termen lijken op elkaar. Veel mensen denken daarom al snel dat gegevensbescherming gaat over het goed versleutelen van gegevens. Maar hoewel dat belangrijk is, gaat gegevensbescherming echt ergens anders over. Heel kort gesteld gaat gegevensbescherming over de privacy van mensen, terwijl informatiebeveiliging gaat over de bescherming van informatie van organisaties.
Gegevensbescherming gaat vooral over het beschermen van gegevens over mensen. Onze rechten en vrijheden zijn vastgelegd in verdragen en in de Grondwet. Vooral het Europese Verdrag voor de Rechten van de Mens is een belangrijk uitgangspunt. Als een organisatie jouw gegevens verwerkt, moeten ze rekening houden met de gevolgen die dat voor jou kan hebben. Informatiebeveiliging gaat fundamenteel over iets heel anders, namelijk het beschermen van de gegevens die een organisatie gebruikt, om de continuïteit of de concurrentiepositie van die organisatie te beschermen. Soms vallen die verschillende invalshoeken goed samen, maar soms ook juist niet. We hebben een top 6 van de belangrijkste verschillen op een rijtje gezet. Zodat niemand ze nog hoeft te verwarren.
1. Informatiebeveiliging omvat alle gegevens van een organisatie, gegevensbescherming gaat alleen over persoonsgegevens
Als de Information Security Officer nadenkt over de beveiliging van gegevens, dan worden alle gegevens van de organisatie bedoeld. Het informatiebeveiligingsbeleid gaat over financiële gegevens, productontwerpen, en ook over de gegevens van klanten, medewerkers en leveranciers. Het privacybeleid, wat de gegevensbescherming regelt, kijkt alleen naar persoonsgegevens. Het is in die zin dus beperkter. Alleen gegevens die direct iets zeggen over een bekende of te herleiden persoon vallen onder het privacybeleid. Dat is vaak meer dan je denkt, want ook een ZZP’er heeft recht op privacy, dus in de financiële administratie van organisatie kunnen zomaar persoonsgegevens terug te vinden zijn.
2. Gegevensbescherming beschermt de mensen, informatiebeveiliging beschermt de organisatie
Gegevensbescherming is erop gericht de rechten en vrijheden van natuurlijke personen te beschermen en beschermt mensen binnen en buiten de organisatie tegen misbruik van hun gegevens. Ook tegen overmatig gebruik van de gegevens door de organisatie zelf. Het privacybeleid legt in die zin beperkingen op aan medewerkers binnen de organisatie en legt uit hoe de organisatie omgaat met de verantwoordelijkheden die horen bij het werken met gegevens van mensen.
Het informatiebeveiligingsbeleid is gericht op de belangen van de organisatie zelf. Het doel van het informatiebeveiligingsbeleid is om de continuïteit van de organisatie te waarborgen, en te voorkomen dat gevoelige informatie op straat komt te liggen. Ook moet het informatiebeveiligingsbeleid ervoor zorgen dat beveiligingsincidenten, zoals datalekken, adequaat worden opgelost. Op dat punt is privacy dus afhankelijk van de uitvoering van het informatiebeveiligingsbeleid.
3. Vertrouwelijkheid, integriteit en beschikbaarheid versus rechtmatigheid
Een goed informatiebeveiligingsbeleid is gebouwd op drie kernbegrippen: vertrouwelijkheid, integriteit en beschikbaarheid van informatie. Met behulp van deze kernbegrippen bepaal je de betrouwbaarheid van je informatiesystemen binnen jouw organisatie. Vertrouwelijkheid gaat erover dat alleen mensen die gegevens nodig hebben er toegang toe hebben. Integriteit gaat over het garanderen dat de beschikbare gegevens ook kloppen met de werkelijkheid. En tenslotte moet het informatiebeveiligingsbeleid ervoor zorgen dat gegevens beschikbaar zijn wanneer ze nodig zijn, en dat in het geval van een storing de dienstverlening of productie snel weer op gang komt.
Deze principes hebben alle drie een rol in het privacybeleid, maar vormen daarvan niet de kern. Het belangrijkste doel van het privacybeleid is te borgen dat iedere verwerking van persoonsgegevens op een rechtmatige manier plaatsvindt. De AVG schrijft voor dat de verwerkingsverantwoordelijke aan moet kunnen tonen dat verwerkingen rechtmatig plaatsvinden. En dat vereist een andere manier van denken. We kijken hierbij onder andere naar het doel en de grondslag van verwerking.
4. Transparant of geheimzinnig
De AVG vereist dat organisaties transparant zijn over de manier waarop ze persoonsgegevens verwerken. Het is de verantwoordelijkheid van de organisatie om mensen te informeren, en eventueel om toestemming te vragen. Een privacyverklaring, toestemmingsformulier, of een melding van een datalek aan de betrokkenen zijn allemaal verplichte vormen van communicatie.
Dat is niet altijd in overeenstemming met de wens van de informatiebeveiligers in een organisatie. Die geven liever niet te veel informatie over beveiligingsincidenten, omdat die informatie gebruikt kan worden door toekomstige aanvallers. Hoewel veel informatiebeveiligers weten dat er weinig veiligheid te halen valt door middel van geheimzinnigheid, is hun werk daar altijd toch ook ten dele van afhankelijk. Het is beter om bijvoorbeeld niet al te veel te delen over de manier waarop het netwerk is beveiligd. En wachtwoorden en encryptiesleutels moeten natuurlijk vertrouwelijk blijven.
5. Veel loggen, of juist weinig
Voor een informatiebeveiliger kan het aantrekkelijk zijn om in detail bij te houden welke handelingen medewerkers of gebruikers uitvoeren in de software. Dat leidt soms tot logbestanden waarmee het mogelijk is om de stappen in detail na te gaan. De informatiebeveiliger logt vanuit securityperspectief. Maar er kan een conflict ontstaan met de gegevensbescherming, omdat de gegevens dus ook wat zeggen over de eigenschappen van personen. Als een organisatie in detail kan zien wat medewerkers doen op een werkdag, kan zij die gegevens gebruiken om een werknemersvolgsysteem in te richten, en dat bijvoorbeeld gebruiken bij de beoordeling van die medewerkers. In dat geval worden de gegevens voor een andere doel gebruikt, dan waarvoor ze zijn verzameld. Het privacybeleid zou zich tegen die function creep verzetten en zou voorwaarden stellen aan het gebruik, of zelfs aan het verzamelen van die gegevens. De balans tussen informatiebeveiliging en gegevensbescherming op dit gebied moet worden vastgelegd.
6. Wet of industriële standaarden
Gegevensbescherming is vastgelegd in wetgeving. Informatiebeveiliging is vastgelegd in een standaard, ISO27001 is daarvan de bekendste. Gegevensbescherming goed inrichten is een verplichting die voor elke organisatie in Nederland – groot of klein, bedrijf of overheid – geldt. De toenemende aandacht voor privacy en bewustwording van burgers, maakt dat privacy een steeds belangrijker onderwerp wordt op de agenda van de directie. Het inrichten van informatiebeveiliging is vooralsnog niet verplicht en heeft eerder een commerciële insteek. Het is een middel om aan te tonen dat een organisatie zijn informatiehuishouding goed op orde heeft en een betrouwbare partner is.