Niet processen, niet mensen, maar IT-systemen vormen de zwakste schakel bij organisaties in het voldoen aan de nieuwe privacy-verordening GDPR en haar Nederlandse vertaling in de AVG. Daar is Jan Matto, partner bij Mazars Accountants & Adviseurs, van overtuigd. Tijd en geld wordt daarom niet op de juist plekken geïnvesteerd.
Privacy en security by design vormen kernelementen van de Europese privacywet GDPR, die per 25 mei 2018 in Nederland als AVG (Algemene Verordening Persoonsgegevens) van kracht wordt en de Wet bescherming persoonsgegevens vervangt. Privacy by design veronderstelt dat systemen zo ontworpen zijn dat de verwerking van persoonsgegevens zo minimaal mogelijk is en de beveiliging zo hoog mogelijk. Privacy en veiligheid inbedden in ICT-systemen, is echter waar het volgens Matto nogal schort. Met GDPR en de belofte van boetes om de hoek, is dat iets waar organisaties zich zorgen over dienen te maken.
Matto vindt het bijna hilarisch hoeveel geld er uit wordt gegeven aan het op orde brengen van processen en mensen om GDPR-compliant te zijn, terwijl het management het belang van IT niet doorheeft en geen besef heeft van waar bijvoorbeeld gegevens in een publieke cloud staan. “De dominante aandacht gaat naar de eerste twee elementen uit, alsof IT een soort sluitstuk is dat via de verwerkersovereenkomst geregeld kan worden. Als het dan misgaat, heb je je zorgplicht verzaakt en ben je aansprakelijk. In zo’n situatie wil je niet terecht komen.”
Veiligheid van IT 'dramatisch'
Wanneer Mazars IT-systemen audit, toetst men ook de IT-systemen zelf en hun koppelvlakken met mensen en processen. Helaas is de veiligheid van de IT vaak dramatisch, merkt Matto. Dat heeft niet (alleen) te maken met onachtzaamheid. IT-systemen en infrastructuren zijn in decennia gegroeid, hier een goed overzicht van hebben is vrijwel onmogelijk. Daarnaast is IT ook vele malen complexer geworden door de opkomst van de cloud, het uitbesteden van IT-systemen, -toepassingen en -onderhoud, BYOD en shadow IT (toepassen van consumententoepassingen voor zakelijk gebruik).
Matto verwacht dat toezichthouder AP vanaf 25 mei ook echt handhavend zal optreden, zij het dat niet meteen elke overtreding hard wordt aangepakt. “De AP krijgt meer geld en mensen, maar dat is onvoldoende om alles te controleren. Ze zullen zich eerst richten op high profile segmenten. Alleen waarschuwingen geven zoals de afgelopen twee jaar bij de Meldplicht datalekken, dat kan niet meer. Dan verliest de AP haar geloofwaardigheid."
Zie voor het volledige interview: Jan Matto, Mazars: IT-systemen vormen kwetsbaarste element in GDPR-strategie.
