Compliance en realtime data: is het écht goed geregeld?

Informatiebeveiliging begint bij duidelijke randvoorwaarden

Als het gaat om datagebruik, verwachten we dat organisaties voldoen aan gangbare informatiebeveiligingsprincipes. Denk aan vertrouwelijkheid, integriteit en beschikbaarheid van data. Met andere woorden: is de data voldoende beschermd tegen ongeautoriseerde toegang? Is de data juist, volledig en actueel? En is deze toegankelijk en bruikbaar op het moment dat je deze nodig hebt?  

Daarnaast moet de onweerlegbaarheid van data gewaarborgd zijn: de verzender van informatie mag niet kunnen ontkennen dat hij de informatie heeft verstuurd, en de ontvanger niet dat hij die heeft ontvangen. Ook de authenticiteit van systemen en gebruikers moet aantoonbaar zijn. Verder verwachten we dat de privacy goed is geborgd en dat de fysieke én digitale veiligheid van gebruikers en systemen op orde is. 

Voor deze theorie bestaat het ezelsbruggetje CIANA-PS: 

• Confidentiality  
• Integrity  
• Availability  
• Non-repudiation  
• Authenticity  
• Privacy
• Security 

Naast deze informatiebeveiligingsprincipes kunnen er aanvullende eisen gelden, zoals bijvoorbeeld financiële-, HR-, milieu-, duurzaamheid-, product- of contractuele verplichtingen. Kijk hier eens bewust naar als je informatie online deelt of raadpleegt, vaak zie je dan al waar de eerste hoofdpijndossiers ontstaan. 

Welke afspraken maak je als je data deelt? 

Wat spreek je eigenlijk af als je data deelt, en hoe bewaak je die afspraken? Vanuit mijn rol zorg ik ervoor dat wij binnen AMIS Conclusion handelen volgens de kaders die wij met onze stakeholders hebben afgesproken. Dat zijn interne stakeholders, zoals de directie, medewerkers en de ondernemingsraad, maar ook externe stakeholders zoals klanten, leveranciers en overheden. Al deze stakeholders hebben bepaalde eisen en verwachtingen. Die vertalen wij intern naar beleid, richtlijnen en procedures. Ook jouw eisen maken hier mogelijk onderdeel vanuit en vertalen zich naar bijvoorbeeld ISO-, ISAE- of GDPR-eisen. 

Mijn hoofdtaak is om ervoor te zorgen dat deze eisen niet alleen worden vastgelegd, maar ook daadwerkelijk worden nageleefd. En dat gaat verder dan het tonen van een certificaat of assuranceverklaring. Zo’n certificaat of verklaring is slechts de verpakking. Wat echt telt, zijn de vele maatregelen en controles die in lijn met het beleid zijn ingericht om aan de afspraken te voldoen. Vergelijk het eens met een rijbewijs: dat toont aan dat iemand bevoegd is om te rijden, maar zegt niets over hoe goed die persoon dat daadwerkelijk kan. Je stapt waarschijnlijk ook niet zomaar in bij iemand waarvan je weet dat die eigenlijk geen veilige bestuurder is.  

Van begin tot eind: de hele datalevenscyclus 

In de volledige levenscyclus van data zijn de algemene verwachtingen dus essentieel. Zowel tijdens het creëren, opslaan, gebruiken, delen, archiveren en verwijderen van data. Maar hoe weet je als consument of organisatie nu of een partij zich daaraan houdt? Vertrouw je op de blauwe ogen van de ander? Of neem je pas genoegen na de aantoonbaarheid van feiten? Precies hier krijgt compliance zijn waarde. Als consument volstaat vaak een mate van vertrouwen, maar als organisatie is er meer nodig, zoals  regelgeving, toezicht, risicoanalyse, sancties en rapportageverplichtingen.  

Transparantie in datagebruik is essentieel 

Zelf heb ik als consument ook behoefte aan transparantie. Ik vind het niet erg dat een dienst als Google mijn voorkeuren leert kennen zodat er betere zoekresultaten uitkomen, ik betaal er tenslotte niet voor. Maar zodra ik wél betaal, wil ik zelf kunnen bepalen wat er met mijn data gebeurt. Dan wil ik weten wat er is afgesproken en wie waarvoor verantwoordelijk is.  

Gebruikersvoorwaarden met verwijzingen naar privacy policies en servicevoorwaarden geven hierin duidelijkheid. Maar laten we eerlijk zijn: wie leest die echt? Je herkent dit vast: je bezoekt een website en accepteert klakkeloos alle cookies omdat de site anders niet goed werkt. Tijdens het bestelproces accepteer je alle leveringsvoorwaarden, zonder ze te lezen. En bij het gebruik van de online dienst worden de gebruikersvoorwaarden ook geaccepteerd. Wat je hiermee feitelijk doet, is mogelijk de andere organisatie een carte blanche geven over jouw data. De vraag is: wil je dit echt? 

Grote en kleine organisaties, verschillende risico’s 

Als Compliance Officer heb ik dus behoefte aan transparantie, zowel intern als in de samenwerking met externe partijen. Daarbij zie ik twee punten van extra aandacht: 

1. Kleine organisaties die (nog) niet volledig aan alle eisen voldoen. Hier is extra begeleiding en toetsing nodig.  
   
   
2. Techreuzen zoals Microsoft, Google, Amazon en Oracle. Zij voldoen weliswaar aan alle formele eisen, maar zijn lastig aan te spreken op extra transparantie. 

Zo beoordeel je of een organisatie betrouwbaar met data omgaat 

Als je een interne of externe organisatie en hun datagebruik gaat toetsen, zijn er drie zaken van belang: 

1| De scope  

De scope bepaalt de reikwijdte van bijvoorbeeld een kwaliteits- of informatiebeveiligingsmanagementsysteem. Is het systeem wel van toepassing op jouw data? Zonder de scope van een certificaat of assuranceverklaring te kennen, is het lastig in te schatten of een organisatie jouw data goed beheert.  

2| Volwassenheid van de organisatie 

De volwassenheid van een organisatie is ook van belang. Is het een startende organisatie, of heeft de organisatie al jarenlange ervaring met processen die via de zogenaamde PDCA-cyclus (Plan-Do-Check-Act) voortdurend worden verbeterd? Over de volwassenheid vind je vaak weinig tot geen informatie terug op websites of in certificaten. Assurancerapportages kunnen soms meer duidelijkheid bieden. 

3| Wederzijdse verantwoordelijkheidsafspraken  

De zogenaamde ‘shared responsibility matrix’ van techreuzen geeft aan tot waar hun verantwoordelijkheid strekt en waar de klant verantwoordelijkheid moet nemen. Bij techreuzen blijft de verantwoordelijkheid voor de data vaak bij de klant, ook al wordt deze data in de cloud opgeslagen. Dit betekent dat je als consument of organisatie je data uit handen geeft, zonder dat de andere organisatie hiervoor formeel verantwoordelijk is. Je bepaalt dus zelf je eigen datarisico’s! 

Voldoet jouw dataopslag dan nog wel aan de algemene verwachtingen? Ja en nee. Formeel ben je zelf in deze gevallen verantwoordelijk voor je data, zeker als er iets misgaat. Het risico dat je daarbij loopt, hangt af van de maatregelen die de organisatie je biedt én die je mogelijk zelf hebt genomen voor de bescherming. Denk hierbij aan: 

• Een goed ingerichte back-up- en restoreprocedure 

• Redundant uitgevoerde omgevingen voor optimale beschikbaarheid 

• Voldoende monitoring om je data te beschermen  

Waarom vertrouwen op realtime data geen toeval mag zijn 

Bij AMIS Conclusion denken we niet lichtzinnig over data. Als we onze zaken niet op orde hebben, heeft dat directe gevolgen: er staan treinen stil, logistieke ketens lopen vast, vliegtuigen blijven aan de grond en in sommige gevallen is er zelfs geen stroom.  

Als ‘master of realtime data’ zijn we ons zeer bewust van de verantwoordelijkheden die daarbij horen. Stakeholders eisen niet alleen snelheid en beschikbaarheid, maar vooral ook betrouwbaarheid en veiligheid. Daarom hanteren wij kwaliteit, veiligheid en privacy als uitgangspunt, en zorgen we dat algemene verwachtingen geborgd zijn. We onderhouden actief diverse nationale en internationale kwaliteitssystemen, waaronder ISO 27001, NEN 7510 en ISAE 3402.  

Als Compliance Officer sta ik als lijnrechter langs onze ‘datavelden’. Ik steek de vlag op als dat nodig is, en laat me bijsturen door interne en externe scheidsrechters (de auditoren). Het is aan jou als toeschouwer (organisatie) om de kwaliteit van onze uitvoering te beoordelen. Zorg dus dat je voldoende informatie krijgt om het vertrouwen terecht te kunnen geven. En spreek mij gerust aan als je daarover vragen hebt.