Privacy en security worden vaak in één adem genoemd. Dat is ook logisch, gezien de raakvlakken en overlap die tussen beide domeinen bestaat. Zo speelt de risicogebaseerde aanpak, waarbij op basis van een risico-analyse maatregelen worden geselecteerd om privacy of security te borgen, binnen beide domeinen een centrale rol. En beide domeinen zijn erop gericht om risico’s te verkleinen. Maar er zijn ook verschillen. Ik licht er twee uit.
Verschil #1: aard van de risico’s
Ja: zowel het privacydomein als het securitydomein probeert risico’s te verkleinen tot een acceptabel niveau. Maar er zit een wezenlijk verschil in de aard van de risico’s die worden verkleind. En dat verschil is net iets genuanceerder dan ‘binnen het privacydomein draait het om bescherming van persoonsgegevens en binnen het securitydomein om bescherming van alle vormen van informatie’.
Binnen het privacydomein draait het uiteindelijk om risico’s die impact hebben voor individuen, voor mensen van vlees en bloed. Of, zoals de AVG het bijna poëtisch omschrijft, om ‘de risico’s voor de rechten en vrijheden van natuurlijke personen’. Oftewel: wat voor impact heeft het voor jou of mij persoonlijk, als informatie die ons betreft op straat komt te liggen, verloren gaat of onjuist is? En welke maatregelen kunnen we treffen om de kans dat het fout gaat en de impact die dat voor jou of mij heeft, te verkleinen?
Bij het securitydomein draait het ook om risico’s. Maar: uiteindelijk draait het niet om de impact voor individuen, maar om het beheersen van bedrijfsrisico’s. Security of, in goed Nederlands, informatiebeveiliging, gaat over het beschermen van informatie om uiteindelijk de continuïteit van de bedrijfsvoering te kunnen garanderen. Oftewel: hoe zorgen we dat we op de momenten waarop dat nodig is, toegang hebben tot juiste informatie, en dus ons werk kunnen blijven doen? Vandaar dat securitybeleid en -maatregelen altijd goed moeten worden afgestemd op de bedrijfsdoelstellingen.
Verschil #2: vrijheid om risico’s al dan niet te accepteren
Bij het beheersen van risico’s worden risico’s in kaart gebracht, geanalyseerd, en als ze te hoog worden bevonden, dan worden er maatregelen ingesteld om het risico tot een acceptabel niveau te beperken. Voor het beperken van risico’s zijn verschillende strategieën mogelijk, op hoofdlijnen zijn zij als volgt te categoriseren:
- Verkleinen van risico’s, bijvoorbeeld door maatregelen in te stellen die ervoor zorgen dat de kans dat de ongeplande gebeurtenis zich voordoet kleiner wordt, of die ervoor zorgen dat de impact van die gebeurtenis minder ernstig is;
- Vermijden van risico’s, bijvoorbeeld door de voorgenomen activiteiten niet te gaan uitvoeren;
- Overdragen van risico’s, bijvoorbeeld door een verzekering af te sluiten;
- Accepteren van risico’s: ervoor kiezen om ondanks het risico de geplande activiteiten toch door te zetten, waarbij een afweging wordt gemaakt tussen de te verwachten baten van die activiteiten en het risico dat de activiteiten met zich draagt.
Binnen het securitydomein hebben organisaties volledige vrijheid om zelf te bepalen hoeveel risico zij bereid zijn om te nemen. Sommige organisaties zijn risico avers en zullen er alles aan doen om de risico’s zo klein mogelijk te houden. Dat is op zichzelf een prima keuze, maar kan wel leiden tot verkramping en gemiste kansen. Andere organisaties hebben een grotere ‘risk appetite’ en zijn bereid om meer risico te accepteren, als daar een potentieel voordeel tegenover staat. De afweging hoeveel risico wordt genomen is aan organisaties zelf.
Kijken we naar het privacydomein, dan hebben organisaties te maken met strikte wetgeving. Er is enig grijs gebied waarbinnen organisaties eigen afwegingen kunnen maken. Maar het accepteren van privacyrisico’s buiten dat grijze gebied zou een directe inbreuk van de privacywetgeving kunnen opleveren, waardoor het geen optie meer is om die risico’s te accepteren. Organisaties zullen in die gevallen dan noodgedwongen toch moeten kiezen voor het vermijden of verkleinen van risico’s.
Uiteraard kunnen organisaties ervoor kiezen om de wet te overtreden, maar los van boetes voor de organisatie, zou dat ook tot bestuurdersaansprakelijkheid kunnen leiden. In de praktijk zullen organisaties dus niet snel tot zo’n strategie overgaan.