Privacy en informatiebeveiliging: twee termen die vaak in één adem genoemd worden, maar in praktijk toch hun eigen dynamiek kennen. De één richt zich op het beschermen van persoonsgegevens, waarbij de ander de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie waarborgt. Toch raken ze elkaar voortdurend. In het blog ‘Informatiebeveiliging in de AVG’ kun je hier meer informatie over vinden.
Dit blog gaat in op de samenhang, de verschillen en het perspectief van diverse collega’s binnen onze organisatie over de vakgebieden privacy en informatiebeveiliging.
Perspectief uit de praktijk
Om te ontdekken hoe de samenhang en samenwerking er in de dagelijkse praktijk uitziet, gingen we in gesprek met verschillende collega’s die ieder vanuit hun eigen rol te maken hebben met privacy en/of informatiebeveiliging. Deze collega’s werken door heel Nederland voor verschillende organisaties en zijn allemaal werkzaam binnen het vakgebied. Ze vervullen rollen van Security Officer tot Legal Counsel, en van Functionaris Gegevensbescherming tot Privacy Officer.
De collega’s hebben een aantal vragen beantwoord over de samenhang en verschillen tussen privacy en informatiebeveiliging. Het is voornamelijk gericht op de werkzaamheden die bij de hierboven benoemde functies horen. De gestelde vragen variëren van ‘Hoe zie jij het verschil tussen privacy en informatiebeveiliging in jouw dagelijkse werk?’ tot ‘Hoe ervaar jij het bewustzijn van medewerkers als het gaat over privacy en informatiebeveiliging? En ervaar jij hier verschil in?'.
Maar er worden ook vragen gesteld als ‘Ervaar jij soms uitdagingen in de samenwerking, of zijn er wel eens thema’s waarin privacy en informatiebeveiliging kunnen botsen? Zo ja, welke dan?’ om zo een goed, breed en algemeen beeld te scheppen.
Verschillen die verbinden
Hoewel privacy en informatiebeveiliging vaak als aparte disciplines worden gezien, blijkt uit de gesprekken dat ze in de praktijk sterk met elkaar verweven zijn. Dit komt ook goed naar voren bij de vraag: Hoe zie jij het verschil tussen privacy en informatiebeveiliging in jouw dagelijkse werk?
Een collega vanuit het informatiebeveiligingsdomein verwoordde het als volgt:
“Privacy is in mijn optiek een onderdeel van informatiebeveiliging, waarbij de focus ligt op een specifieke categorie informatie: persoonsgegevens. In plaats van het als twee gescheiden domeinen te beschouwen, zie ik ze vooral als complementair. Beide disciplines richten zich op het beschermen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie, maar privacy legt de nadruk op de bescherming van natuurlijke personen via hun data”
Dit bevestigt dat er een samenhang is van privacy en informatiebeveiliging, maar het zijn wel echt twee verschillende vakgebieden. Dit komt ook uit verschillende antwoorden. Vanuit de legal hoek wordt dit ook benadrukt, Legal Counsel Gülçin Ermis, die vaak ook werkzaam is als Functionaris Gegevensbescherming, zegt hierover het volgende:
“Informatiebeveiliging zit vooral op de beveiliging van gegevens, terwijl privacy meer gericht is op de bescherming van de rechten van betrokkenen. De twee zijn in zekere mate met elkaar verweven, maar vormen afzonderlijke vakgebieden waaraan binnen organisaties aandacht moet worden gewijd. Het één is daarbij niet belangrijker dan het ander.”
Daarnaast gaven sommige collega’s ook concrete voorbeelden waarin zij het verschil zagen. Een collega met een juridische achtergrond en jarenlange ervaring binnen het compliancevakgebied benadrukte in een voorbeeld hoe privacy en informatiebeveiliging verbonden zijn, maar ook hoe ze soms op gespannen voet kunnen staan. Hij wijst erop dat de kunst ligt in het vinden van de juiste balans tussen technische maatregelen nemen om het veiliger te maken en proportionaliteit. Ook samenwerking is essentieel omdat beide vaak andere achtergronden hebben. Hierover zei hij het volgende:
“Privacy en informatiebeveiliging zijn vaak complementair, maar staan soms ook op gespannen voet met elkaar. Ze zijn complementair in de zin dat informatiebeveiliging een noodzakelijk element is om privacy in de praktijk te kunnen borgen. Vandaar ook de verplichtingen in de AVG om informatiebeveiliging te borgen, bijvoorbeeld in art. 5(f), 24(1) en 32-34. De verplichting om persoonsgegevens te beveiligen en privacy te borgen is een van de belangrijk(st)e redenen om informatiebeveiliging toe te passen.
Privacy en informatiebeveiliging kunnen juist strijdig zijn waar informatiebeveiliging probeert om allerlei vormen van inbreuk te loggen, te monitoren en op te sporen. Overal camera’s plaatsen kan voor de ‘veiligheid’ een goed idee zijn, maar het maakt inbreuk op de privacy en kan in dat verband al snel disproportioneel worden. In dit opzicht moet juist een goede balans worden bereikt in toezicht en surveillance aan de ene kant en privacy aan de andere kant. Het grondrecht op privacy geldt voor iedere natuurlijke persoon, terwijl het vraagstuk van beveiliging vaak neerkomt op wie beveilig ik waartegen? Beveilig ik bijvoorbeeld de werknemer tegen onrechtmatige surveillance door de werkgever of beveilig ik (het belang van) de organisatie tegen mogelijke inbreuk op beleid of instructies door werknemers?
In het dagelijkse werk vind ik het interessant om te zien dat mensen die zich vooral focussen op privacy een juridische achtergrond hebben en mensen die in informatiebeveiliging bezig zijn meestal een technische en/of (project)managementachtergrond hebben. Hier bestaan uiteraard allerlei uitzonderingen op maar het lijkt in grote lijnen wel op te gaan. In alle gevallen vind ik het positief en waardevol als privacy en informatiebeveiliging samen worden geborgd en dat privacy- en informatiebeveiligingsprofessionals goed samenwerken of zelfs in hetzelfde team (bijv. IB&P) zitten.”
Samenwerking en spanningsvelden
In veel organisaties werken privacy- en securityprofessionals nauw met elkaar samen. Zo kan een organisatie voor de AVG en privacyvraagstukken een Privacy Officer, en/of Functionaris Gegevensbescherming (ofwel FG) in huis hebben, en voor informatiebeveiliging een (Information) Security Officer. De FG heeft bijvoorbeeld meer een controlerende functie en focust zich meer op de compliance van bijvoorbeeld de AVG. Een Security Officer heeft kennis over de ISO 27001 of andere normen en/of wetgevingen die toegespitst zijn op informatiebeveiliging (zoals de NIS2, NEN 7510 of BIO). Beide functies zijn verantwoordelijk voor het geven van gevraagd en ongevraagd advies aan de organisatie.
Tijdens het interview is er ook gevraagd ‘Waar merk je vaak dat privacy en informatiebeveiliging elkaar versterken? Denk aan afdelingen, processen of thema’s.’ Hieruit zijn de volgende thema’s naar voren gekomen:
- Tijdens het opstellen van security awareness plan
- De beoordeling van nieuwe applicaties en/of systemen
- Bij het proces incidentmanagement en datalekken
- Tijdens de uitvoering van een risicoanalyse/ -beoordeling
- Opstellen beleid: zoals leveranciersbeleid en documentbeheerbeleid
Dezelfde thema’s kwamen naar voren, zowel bij security- als privacyspecialisten. Een collega vertelde hierover het volgende:
“Zodra het om persoonsgegevens gaat, spelen zowel privacy als informatiebeveiliging een belangrijke rol. Vooral bij de aanschaf van nieuwe systemen waarin (gevoelige) persoonsgegevens worden verwerkt, zie je dat beide onderwerpen samenkomen. Als FG adviseer ik bij een DPIA bijvoorbeeld altijd ook over de informatiebeveiligingsaspecten, en vraag ik de ISO expliciet om mee te kijken. Zonder goede beveiliging heeft de bescherming van privacy immers weinig waarde.”
De samenwerking verloopt meestal goed, maar er zijn ook uitdagingen. Dit is nadrukkelijk gevraagd tijdens het interview en hier kwamen twee onderwerpen goed naar voren. Ten eerste kijkt iedereen vanuit zijn of haar eigen perspectief en vakgebied naar een situatie/incident. Maar meerdere collega’s gaven hierbij wel aan dat met een duidelijke rolverdeling en het inrichten van heldere processen dit probleem zich vanzelf oplost. Verder kwam naar voren dat mensen uit het vakgebied informatiebeveiliging vaak de voorkeur geven aan controle om veiligheid te waarborgen, maar dit niet altijd de beste manier is als we kijken naar de privacywet- en regelgeving. Een collega verwoorde dit als volgt:
“Ja, die uitdagingen zijn er zeker, al zie ik ze vooral als kansen voor afstemming. De meest voorkomende botsingen ontstaan wanneer doelen en uitgangspunten verschillen: transparantie versus beveiliging. Privacyprofessionals willen vaak maximale transparantie richting betrokkenen, terwijl securityprofessionals soms vertrouwelijkheid vooropstelt (bijv. bij incidentmeldingen of logging).”
“Dataminimalisatie versus monitoring: securitymaatregelen zoals logging, audittrails of gedragsanalyse kunnen botsen met het privacybeginsel van dataminimalisatie. Begripsverschillen: termen als ‘risico’, ‘proportionaliteit’ of ‘verwerking’ worden soms anders geïnterpreteerd tussen de domeinen. De sleutel ligt voor mij in vroegtijdige afstemming en het gezamenlijk opstellen van kaders zodat beide perspectieven geborgd blijven. In de praktijk werkt het goed om beleid, DPIA’s en technische maatregelen parallel te ontwikkelen in plaats van sequentieel.”
Kortom, privacy en informatiebeveiliging kunnen elkaar versterken, maar er zijn soms ook de nodige uitdagingen. Beide disciplines werken toe naar hetzelfde doel ‘het beschermen van informatie en zo mensen’, maar doen dat vaak vanuit een ander perspectief en soms zelfs vanuit een ander belang. Dit kwam ook bij het antwoord van Compliance Consultant Melanie van Leeuwen naar voren. Op de vraag: 'Ervaar jij soms uitdagingen in de samenwerking, of zijn er wel eens thema’s waarin privacy en informatiebeveiliging kunnen botsen?' Vertelde ze het volgende:
“Niet zozeer in de samenwerking, maar het kan voorkomen dat er iets mag vanuit informatiebeveiliging, maar niet vanuit privacy en de adviezen dus met elkaar kunnen botsen. Daarom geven beide rollen ook een advies en het bestuur moet daarin een afweging maken en de uiteindelijke beslissing nemen.”
Het bestuur van een organisatie is altijd eindverantwoordelijk voor privacy en informatiebeveiliging. Maar de twee vakgebieden zijn op zijn sterkst als ze samenwerken. Uiteindelijk vinden de meeste collega’s de samenwerking positief en zien zij de twee vakgebieden als een balans die elkaar versterkt. Juist in een gesprek tussen beide domeinen ontstaat de kwaliteit die nodig is om écht verantwoord om te gaan met informatie.
Toekomst en bewustwording
De toekomst brengt nieuwe uitdagingen met zich mee, denk aan AI, Cloud migraties en strengere wetgeving. Zowel privacy- als securityspecialisten zien een groeiende noodzaak om medewerkers actief te betrekken en bewust te maken. Technologie biedt oplossingen, maar het gedrag van medewerkers bepaalt het succes en is erg van belang.
Information Security Consultant Thijs Pas zei hierover het volgende:
“Het bewustzijn onder medewerkers over privacy en informatiebeveiliging groeit, maar blijft een punt van aandacht. Vaak leeft het idee: “ik weet hier al genoeg van”, terwijl juist menselijk handelen vaak de doorslag geeft of iets wel of geen incident wordt. In de praktijk zijn medewerkers de zwakste schakel én tegelijk de belangrijkste verdediging. Ik ervaar persoonlijk weinig verschil tussen hoe mensen omgaan met security versus privacy, in beide gevallen zijn het abstracte onderwerpen die pas echt gaan leven wanneer er context of impact zichtbaar wordt. Daarom blijft bewustwording en training op maat essentieel, liefst gekoppeld aan realistische scenario’s en praktijksituaties. Security awareness is geen eenmalige training, maar een doorlopend leerproces waarin gedragsverandering centraal staat.”
Dit sluit aan op de woorden van een andere collega:
“Wat ik in mijn werk steeds weer zie, is dat de kracht van privacy en informatiebeveiliging niet in technologie of beleid ligt, maar in menselijk gedrag en organisatiecultuur. Wanneer medewerkers begrijpen dat zorgvuldigheid bij het omgaan met informatie onderdeel is van professioneel handelen, ontstaat een cultuur waarin privacy en informatiebeveiliging vanzelfsprekende waarden zijn.
Tijdens het interview hebben we ook gevraagd hoe zij naar de toekomst kijken. Welke trends zien zij en welke daarbij behorende risico’s invloed kunnen hebben op hun vakgebied. Hieruit kwamen de volgende thema’s naar voren:
- Het ondoordacht binnenhalen, implementeren van AI en het (data)gebruik die hierbij gepaard gaat;
- De toenemende complexiteit van wet- en regelgeving, zoals binnen de Digital Decade, denk bijvoorbeeld aan de NIS2 en de AI Act;
- De hoeveelheid cybersecuritywetgevingen in Europa.
Samen sterker
Uiteindelijk lieten de interviews zien dat privacy en informatiebeveiliging elkaar niet in de weg staan, maar elkaar juist versterken. Alleen door samenwerking, begrip voor elkaars perspectief en een gedeeld doel kunnen organisaties écht veilig en verantwoord met informatie omgaan. Ofwel:
“De kracht zit in gezamenlijke positionering en vroegtijdige betrokkenheid. Wanneer privacy en informatiebeveiliging als één geïntegreerd domein worden gepositioneerd, stijgt niet alleen de compliance, maar ook het vertrouwen in de organisatie als geheel.”
Wil je graag meer blogs lezen over security? Kijk dan hier!
