Privacy gaat voorbij data en compliance

Abonneer je gratis op Techzine!

Vorige week publiceerden we al een bericht over de Data Privacy Benchmark Study van Cisco. Rode draad van de uitkomsten van dat onderzoek is dat de gebeurtenissen rondom de coronacrisis wereldwijd hebben geleid tot een hogere waardering van het concept privacy bij organisaties. Nederland was hierop geen uitzondering. Sterker nog, Nederland lijkt het voortouw te nemen. Wij spraken met Michel Schaalje, Security Lead Nederland bij Cisco over het rapport en over de prestaties van Nederland.

De afgelopen weken hebben we een goed voorbeeld gezien van het belang van privacy in de huidige tijd. De privacy van mensen die zich hebben laten testen op Covid-19 is verre van gerespecteerd. De GGD’s beschermden de toepassingen en de systemen onvoldoende. Persoonlijke data lag hierdoor op straat. Op zich was er technisch niets mis met de systemen en de programma’s. Er was bijvoorbeeld geen sprake van een groot lek of een tot vorige week niet ontdekte zero-day. Er was simpelweg niet of in ieder geval niet goed genoeg nagedacht over de privacy-eisen die dit soort data met zich meebrengt.

Vanuit privacy-oogpunt is dit een grote fout, dat mag duidelijk zijn. Met de informatie uit de systemen van de GGD’s, kun je allerlei kwaad berokkenen aan de betrokken personen. Daar had veel beter gemonitord moeten worden. Ook had men de gebruikte tools beter moeten configureren. Dat het al maanden bekend was dat de data veel te breed toegankelijk was, maakt het alleen nog maar schrijnender. Een voordeel, het zette dataprivacy wel weer goed op de agenda bij nagenoeg iedereen.

Trend richting meer focus op privacy

Je denkt nu wellicht dat het er slecht voorstaat met het belang van privacy bij organisaties. Dat is gelukkig niet zo, als we de resultaten van de Data Privacy Benchmark Study van Cisco er eens bij pakken. Een conclusie hiervan is privacy juist meer aandacht krijgt bij organisaties. Er was sprake van een verdubbeling van privacy-budgetten in 2020. Gemiddeld gaat het nu om 2,4 miljoen dollar per ondervraagde organisatie. In totaal vulden 4400 security professionals die zich ook met privacy bezighouden de vragen in. Het algemene oordeel over privacywetgeving is positief. Daarnaast geeft 90 procent van de ondervraagden aan dat externe privacycertificaten (zoals ISO 27701 en EU Binding Corporate Rules) een belangrijke rol spelen bij de keuze voor producten, diensten en vendoren.

Een van de voornaamste redenen voor de toegenomen aandacht, is de situatie rondom Covid-19. Thuiswerken werd en is de norm. Dat roept vragen op rondom privacy. Daarnaast kwam er ook meer privacy-bewustzijn bij werknemers. Die combineren in thuiswerksituaties privé en zakelijk en willen dat hun eigen privacy ook gewaarborgd is.

Lees hier het volledige rapport, mocht je het eens rustig door willen nemen.

Voorbij data privacy

Op zich zijn bovenstaande redenen redelijk logisch, vanuit een traditioneel data-privacy perspectief bekeken. Je stelt als organisatie je data en het optimaal beschermen ervan centraal. Hier ziet Schaalje echter de voornaamste verschuiving plaatsvinden, op basis van de uitkomsten van het rapport. “Het gaat nu niet meer alleen over data privacy, iets wat lange tijd wel zo was,” geeft hij aan. Dat is maar een deel van het privacy-vraagstuk. Een deel dat binnen organisaties sterk wordt gestuurd door de wens om compliant te zijn met richtlijnen, wetten en andere regels. “Het gaat nu over privacy in de breedte,” vervolgt hij. Hiermee doelt hij op de impact van privacy op andere onderdelen waar een organisatie mee te maken heeft.

Uit het onderzoek blijkt bijvoorbeeld een correlatie tussen de volwassenheid (maturity) van je privacybeleid en de zakelijke voordelen die je hiermee realiseert. “Of het nu gaat om het vertrouwen winnen van je klanten of het terugbrengen van sales cycles, privacy heeft hier een positieve uitwerking op,” vat Schaalje het samen. Met andere woorden, klanten van organisaties gaan een steeds belangrijkere rol spelen in het privacyvraagstuk. Daarbij gaat het overigens niet alleen over externe klanten. Een goed privacybeleid voor thuiswerkers binnen je organisatie kan je ook aantrekkelijker maken als werkgever.

Michel Schaalje, Security Lead bij Cisco Nederland

Het onderzoek geeft overigens geen uitsluitsel of dit verband tussen volwassenheid van privacybeleid en het zakelijke succes van een organisatie causaal is. “Daarvoor zou je echt scherp bij klanten moeten vragen of privacy ook daadwerkelijk een belangrijke reden is geweest om voor een vendor te kiezen,” geeft Schaalje aan. De signalen in dit onderzoek lijken in ieder geval wel die richting op te wijzen.

Op de agenda bij de board

Als het gaat om de impact van privacy voorbij het datastuk, mag ook het toegenomen belang voor de raden van bestuur niet ontbreken. Van de ondervraagden geeft 93 procent aan dat men metrics met betrekking tot privacy rapporteert aan de board. Uiteraard zal dit ook sterk beïnvloed zijn door de coronacrisis. Juist in periodes van grote en snelle veranderingen moet de raad van bestuur op de hoogte gehouden worden.

Als we naar de metrics kijken die men aan de board rapporteert volgens het onderzoek, kunnen we hier nog wel een kanttekening bij plaatsen. Op de bovenste plaatsen zien we zaken zoals audits, impact assessments, data breaches en incident response staan. Dat zijn nog wel ‘ouderwetse’ privacy metrics. De wat ‘modernere’ waarden die gaan over de volwassenheid van het beleid en de waarde of ROI ervan, bungelen helemaal onderaan. “Op dit moment zou er dus nog wat meer bewustzijn kunnen en wellicht ook moeten komen als het gaat om welke metrics een board moet willen ontvangen,” geeft Schaalje dan ook aan.

Nederland leidt de dans

De conclusies zoals we die hierboven hebben aangehaald, zijn gebaseerd op de wereldwijde cijfers. Hoe doet Nederland het eigenlijk? “In Nederland hebben we altijd veel gesprekken rondom vertrouwen, iets waar privacy een belangrijke rol in speelt,” geeft Schaalje aan. Dus er lag ook voor de pandemie al meer focus hier op privacy. “We zijn hier als digitaal land ook verhoudingsgewijs veel bezig met innovatie,” vervolgt hij. Data privacy – en de bredere impact van privacy – is uiteindelijk ook een vorm van innovatie, is zijn standpunt: “Denk aan de discussies over het Elektronisch Patiënten Dossier en slimme meters. Die zijn voor een deel vastgelopen op het privacy-vraagstuk.”

Het is gezien bovenstaande niet verrassend dat de gemiddelde investeringen in privacy in Nederland een stuk hoger liggen dan het wereldwijde gemiddelde. 3,1 miljoen dollar ten opzichte van de al eerder gemelde 2,4 miljoen dollar is een groot verschil. Het verschil met de 2,2 miljoen dollar van rest van Europa is zelfs nog iets groter. Als je meer investeert, dan is het absolute zakelijke voordeel dat je eruit haalt uiteraard ook groter dan in gebieden waar minder wordt geïnvesteerd. Dat is volgens Schaalje ook goed zichtbaar in de cijfers.

Wel is het zo dat de relatieve verhouding tussen investeringen en de uitkomsten ervan (de Ratio of Privacy Benefits to Investments) in Nederland beduidend lager is dan gemiddeld. Wij krijgen hier 1,4 keer de investering terug, terwijl dat wereldwijd 1,9 keer is. Vergeleken met vorig jaar is deze verhouding overigens overal fors gedaald. Dit komt uiteraard door extra onvoorziene uitgaven rondom de coronacrisis, maar wellicht ook door nieuwe privacywetgeving, meer verzoeken vanuit klanten, onder andere. Hier is in het onderzoek verder ook geen onderzoek naar gedaan. Dat gaat men in de toekomst wel doen.

Privacy is volwassen geworden

Al met al is het duidelijk dat Nederland op veel vlakken voorloopt, als het gaat om privacy. Dat maakt het rommeltje bij de GGD er eigenlijk alleen maar groter op. Kennelijk is er meer dan voldoende bewustzijn binnen onze landgrenzen. Het is dan extra jammer dat dit niet geldt voor de verantwoordelijken voor de test- en vaccinatieomgevingen.

In het algemeen kunnen we volgens Schaalje echter wel degelijk stellen dat privacy volwassen geworden is. Hij herhaalt tot slot nogmaals de voornaamste les die getrokken kan worden uit het rapport: “Privacy is meer dan data protection en data privacy, maar gaat van data privacy naar bescherming van de mensen die de data gebruiken, zodat er ook vertrouwen opgebouwd wordt.”

Hoe het de komende jaren verdergaat met de status die privacy en het beleid eromheen heeft binnen organisaties, is tot op zekere hoogte gissen. Vooral omdat de toekomst tamelijk ongewis is. Wat wordt de situatie nadat we eindelijk uit de huidige crisis zijn? Die vraag is op dit moment eigenlijk niet te beantwoorden. Wat Schaalje wel zeker weet is dat “de vragen rond privacy zullen blijven, aangezien we niet teruggaan naar hoe het hiervoor was.” Dat betekent ook vooral meer blijvende complexiteit vanwege de nieuwe manieren van werken. Het maakt privacy in ieder geval een interessant thema om te blijven volgen.