Klinkt heel academisch, he? Dat is het niet, maar het is ook niet uit de lucht gegrepen. Ik zie regelmatig dat de rol van privacy officer aan de security officer wordt toegewezen. Maar is dit logisch? Wat mij betreft lang niet altijd. Maar waar komt dat percentage vandaan? Ga maar na welk beeld je krijgt als je de privacy principes van de OECD bekijkt (hieronder een vrije vertaling van de veelgebruikte OECD principes voor privacy.
1 Limitering van het verzamelen van gegevens
– Het verminderen van de hoeveelheid persoonsgegevens gegevens door de gegevens niet op te slaan als dit niet nodig is, of niet langer te bewaren dan nodig.
– Gegevens moeten rechtmatig worden verkregen, indien van toepassing met kennis of instemming van de betrokkene.
2 Gegevenskwaliteit
Gegevens moeten juist, tijdig en volledig zijn.
3 Doelbinding
Het moet helder zijn wat het doel van de gegevensverzameling is, op het moment dat deze worden verzameld. Het doel moet ook in overeenstemming zijn met de normale werkzaamheden van de organisatie.
4 Limitering van gebruik van gegevens
De gegevens moeten alleen worden gebruikt voor het doel waarvoor ze oorspronkelijk zijn verzameld. Gegevens mogen niet worden gebruikt voor andere doeleinden. Onder voorwaarden kunnen gegevens wel worden gebruikt voor rapportage en gebruik in Big data toepassingen.
5 Beveiliging van gegevens
Gegevens moeten adequaat worden beschermd. Dit geldt zowel voor de elektronische beveiliging (logische toegangsbeveiliging, encryptie) als fysieke beveiliging (diefstal informatie, onafgesloten dossierkasten). De verantwoordelijke ziet er op toe dat ook bewerkers of betrokken derden zorgen voor een adequate beveiliging van persoonsgegevens.
6 Transparantie
Een organisatie is helder in de gegevens die zij verwerkt. Dit kan in generieke zin (in een privacy beleid, een jaarverslag) of incidenteel (in een gedragscode, dienstbeschrijving). Over de mate van beveiliging kan een organisatie transparant zijn door de verwerking te laten certificeren.
7 Participatie van het individu, rechten van betrokkenen
De betrokkene moet goed kunnen begrijpen welke persoonsgegevens worden verwerkt en heeft het recht en de mogelijkheid om in te grijpen. De betrokkene heeft het recht op informatie, inzage, correctie en verwijdering. De verantwoordelijke dient mee te werken aan de uitoefening van dit recht.
8 Verantwoording
De verantwoordelijke neemt verantwoordelijkheid voor naleving van deze principes. Bijvoorbeeld door ook het werken aan bewustwording en opleiding of het invoeren van periodiek externe controle.
En kijk nu eens welke overlap er is met security. Natuurlijk: principe 5 (beveiliging van gegevens) komt overeen. Da’s vast 12,5%. En verder? Met de meeste van de 8 privacy principes is de security professional normaal gesproken niet of nauwelijks bezig. Dan is bij hem (m/v) de privacy verantwoordelijkheid toch niet automatisch in goede handen?
Vooruit: ook het onderwerp Gegevenskwaliteit (principe 2) behoort deels tot het vakgebied van de security professional. Laten we zeggen: voor de helft. En met die 6,25% bij de 12,5% kom je op …