GDPR, privacy, veiligheid en security. Weinig onderwerpen die tegenwoordig meer in de belangstelling staan. Het topic voor het eerste debat in het Computable Café tijdens Infosecruity 2017 was dan ook snel gevonden. Debatteerders: Koen Van Loo, cdo van Athena Graphics, Toon Van den Bergh van HP Enterprise, Marc Vael van de kennisorganisatie ISACA en Caroline De Geest, woordvoerster van de Privacycommissie. Moderator van dienst: Luc Blyaert.
Het debat vond plaats op 22 maart, precies een jaar na de verwoestende aanslagen op de luchthaven van Zaventem en de Brusselse metro. Hebben die gebeurtenissen een impact gehad op de rol van veiligheid en privacy en hoe we daar mee omgaan?
‘Het klimaat is zeker veranderd’, zegt Caroline De Geest. ’Er waren vroeger al vrij ingrijpende wetten, maar die leidden een al bij al sluimerend bestaan. Nu is de bereidheid om ze toe te passen veel groter. We moeten zelfs waakzaam zijn dat we veiligheid niet inruilen voor privacy. Veiligheid is niet hetzelfde als minder privacy. Die nood aan privacy blijft onverminderd.’
‘We zien ook een toenadering naar security, infomanagement en governance’, zegt Toon Van den Bergh. ‘Een concreet voorbeeld is onze software-afdeling, waar dit soort zaken nu onder een noemer vallen.’
Koen Van Loo wijst op een grotere bewustwording bij ondernemingen, met als uitzondering de kmo’s. ‘Daar is dat nog te veel een bijkomstigheid. Zaakvoerders zijn vooral bezig met het laten vooruitgaan van hun business. Privacy is nog niet aan de orde van de dag in het kmo-segment. Ook bij burgers: privacy wordt pas een issue als het misgaat, anders niet.’
Caroline De Geest is het daar mee eens. ‘De burger is te weinig privacybewust omdat hij niet genoeg weet wat er met zijn gegevens gebeurt. Bedrijven delen dat ook niet uitdrukkelijk mee, omdat ze anders vrezen dat burgers anders niet meer akkoord zijn met de gang van zaken. Maar goed, dat is de oefening die ze nu moeten maken, natuurlijk.
Ivoren Toren
Nog een ander effect dat tegenwoordig speelt, is dat de Privacycommissie een beetje uit zijn ivoren toren is gekomen, meent Van Loo. ‘De bewustwording over die commissie is aangewakkerd. Bedrijven moet die externe hulp ook durven te gebruiken, daar is ze er voor.’
De Privacycommissie zelf erkent dat het begrip privacy, zeker ook dankzij zaken als GDPR, een boost heeft gekregen de laatste tijd. ‘Als er al een positief effect is, dan is het wel dat bedrijven zijn wakker geschud’, zegt Caroline De Geest. ‘Ook het aantal klachten bij ons stijgt daardoor. Privacy komt ook veel meer in de media en mensen kennen ons beter. Daardoor behandelen we nu zowat vierduizend klachten per jaar. Een ding wel: van de zeer zware sancties die GDPR voorziet, zijn wij maar een koele minnaar.’
De commissie verwacht ook wel dat het aantal klachten dat ze nu te verwerken krijgt, door GDPR alleen maar zal stijgen, hoewel De Geest niet denkt dat de meeste burgers ooit al van GDPR gehoord hebben.
Blijft natuurlijk de vraag: hoe zit het met onze privacy en zijn we die niet stilaan aan het kwijtspelen? ‘Veel Amerikaanse bedrijven willen ons doen geloven dat privacy out is’, zegt Marc Vael. ‘Ik denk dat die slinger toch stilaan aan het terugkomen is. Mensen boven de 25 weten dat hun info iets waard is, dat die langer blijft hangen en ze willen er controle over. Dat leidt tot een schizofrene situatie: ze delen wel informatie, maar zullen er ook probleemloos over liegen.’
Toon Van den Bergh ziet naast alle verplichtingen die GDPR meebrengt, ook een commerciële opportuniteit: ‘De weg naar compliancy kan je gebruiken om het potentieel van je data te onderzoeken. Het is een journey to value. Dat speelt tegenwoordig wel alleen nog maar bij grote ondernemingen. Voor bijvoorbeeld Voka ligt er ook wel een taak om kmo’s te sensibiliseren.’
Koen Van Loo denkt dat dit taak al opgenomen wordt. ‘Het staat al op de agenda’, meent hij. ‘Er wordt al heel veel over GDPR gepraat. Waar ik nog wel veel werk zie, is het Internet of Things. Daar komen security en privacy nog te weinig aan bod.’
Een journey to value, zoals Van den Bergh het noemt, maar ook eentje die misschien eerst wel fikse investeringen vraagt? Mark Vael denkt dat dat nog wel meevalt. Echt heel veel nieuwe wetten bevat GDPR niet. Er was in de bestaande privacywetten al een informatieplicht, maar deze oefening zorgt wel voor een opschakeling. Natuurlijk: hoe complexer het bedrijf, hoe hoger de investering zal zijn. Er zitten ook goede bepalingen in: zo mag een veiligheidsconsulent ook de DPO zijn. Dat is een goede maatregel om kmo’s niet op onnodige kosten te jagen.’
Om de GDPR-bepalingen bevattelijk voor te stellen, ontwikkelde ISACA een soort bordspel rond GDPR. Daarin kunnen bedrijfsleiders, it-managers en alle andere betrokken partijen spelenderwijze leren wat GDPR nu precies inhoudt.
