Nog veel onduidelijkheid over de GDPR

Enkele maanden geleden is het “Kennisgroep privacy” van het Nederlandse ISACA-chapter van start gegaan, die aansluit op de privacy-activiteiten van wereldwijde ISACA-organisatie. Een inventarisatie onder de leden van de kennisgroep leverde ruim 20 knelpunten op die een organisatie ondervindt om te kunnen voldoen aan de AVG-eisen. De knelpunten kwamen in alle publieke en private sectoren voor, zowel bij grote als kleine organisaties. Doordat de Europese privacy-verordening open normen bevat was natuurlijk te verwachten dat het interpreteren en vertalen van algemene privacy-vereisten naar praktische maatregelen moeizaam zou zijn. Temeer omdat er nog beperkte aanvullende richtlijnen beschikbaar zijn gekomen of rechtszaken zijn geweest die verduidelijking gaven.

Organisaties die onvoldoende bekend waren met de voorganger, de Wbp, hadden (en hebben veelal nog steeds) een grote inhaalslag te maken. Gezien de matige Wbp-naleving betekende dit dat de meeste organisaties grote uitdagingen hadden. De top 3 knelpunten zijn vooral gericht op de onderwerpen ‘privacy by design’, omgaan met verwerkers in ketenverband en inzicht krijgen in alle (locaties van alle) type verwerkingen van persoonsgegevens in een organisatie (zowel gestructureerde als ongestructureerde gegevens).

Hieronder worden alvast wat highlights van deze knelpuntenanalyse gedeeld en toegelicht.

Privacy by design
Wat ‘privacy by design’ nu precies is en welke eisen hieraan worden gesteld, is voor veel organisaties nog onduidelijk. De meeste organisaties vragen zich af hoe ze dit goed in hun projecten en systemen kunnen toepassen.

Verantwoordelijk of verwerker (controller vs processor)?
In toenemende mate werken organisaties in ketens of netwerken van organisaties, die zich over de hele wereld kunnen bevinden. Wie in dergelijke ketens dan de verantwoordelijke controller is, kan nog een flinke discussie opleveren. Ook wordt een leverancier of ketenpartij snel als verwerker aangewezen, terwijl dat niet altijd het geval hoeft te zijn (denk aan bepaling van doel en middelen), er kunnen b.v. ook meerdere verantwoordelijken in één keten samenwerken. Hoe maak je dan toch goede afspraken met je ketenpartners, als die op hun beurt verschillende partijen bedienen, maar op hun beurt ook weer verschillende service providers weer kennen.

Wat mag er nu wel en niet?
Opvallend in de knelpunten was dat ondanks de gedetailleerde uitwerking van de verordening, dat er nog veel onduidelijkheid is hoe deze in de praktijk toegepast moeten worden. Onduidelijkheid leeft onder andere op het gebied van toestemming en doelbinding, b.v. inzake (big) data-analyses. De vele toestemmingsmails en verwerkersovereenkomsten die rond 25 mei in grote getalen zijn rondgegaan illustreren dit.

Conclusie
Uit deze kleine inventarisatie kwam een beeld naar voren dat er nog veel onduidelijkheid bestaat hoe de GDPR-regels in de praktijk moeten worden toegepast. Wij verwachten dat vele van onze ISACA-leden in hun beroepsuitoefening te maken krijgen met bovengenoemde dilemma’s. Wij horen dan ook graag of deze thema’s worden herkend en welke behoefte er leeft bij onze leden zodat wij hier in het kennisgroep op kunnen inspelen. We zien graag jullie mailtjes via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken. tegemoet.

 

EU GDPR datos 320x190 1

Namens het kennisgroep privacy,

Krijn Kalma, Jessica Maes en Ronald Koorn

CISA 

ISACA geeft examentrainingen om de titel CISA te mogen voeren. CISA is een wereldwijd erkend certificaat voor IS audit control. Het toont aan dat u de benodigde ervaring, skills en kennis heeft om veiligheidsrisico's te detecteren en betrouwbare audits uit te voeren.

Lees meer over de CISA-training

CISM

Als CISM bent u in staat om zelfstandig informatieveiligheid te analyseren. ISACA verzorgt een examentraining voor CISM, die zowel ruimte biedt voor het bijspijkeren van kennis als concrete oefeningen voor het examen.

Lees meer over de CISM examentraining