Tussen hoop en vrees, over privacy in 2015

Nu de feestdagen achter ons liggen en de goede voornemens ook alweer (jawel), kunnen we beginnen met het nieuwe jaar. Waarin één, zo veel  overkoepelend, onderwerp de boventoon zal voeren: Purraivasie.

We kunnen namelijk gerust spreken van een groeiende beweging, vooral contra privacy. Waardoor we zonder extra inspanningen weleens flink zullen moeten vrezen. Overheden blijken keer op keer ergere privacy-zondaars te zijn dan ze willen toegeven en hackers lopen steeds verder voor in de wapenwedloop. En, alert gemaakt door negatieve publiciteit, zijn bedrijven juist steeds stiekemer geworden rond het mis(?)bruiken en verkopen van uw gegevens.

Is er dan nog hoop ..? Natuurlijk, hoop is immers wat er overblijft als er geen argumenten meer zijn. Gelukkig hoeven we niet alleen te hopen. Er is ook nieuwe Europese wetgeving (95/46/EG) ook in 2015, aanstaande. En ja, die wetgeving heeft, na goedkeuring, direct dwingende kracht in alle lidstaten, daar hoeft nou eens niet eerst op nationaal niveau invulling aan te worden gegeven. En inderdaad, die wetgeving heeft in de voorstelfase waarin we alweer te lang verkeren, ver gaande sancties. In opzet.

Is er dan nog vrees..? Jazeker! Gelukkig maar, u heeft als expert ook komend jaar genoeg te doen, aan uitleggen wat er niet, maar zeker ook wat er wel nog kan. Want die wetgeving is er nog lang niet doorheen en zál heus wel worden verwaterd. Ook qua sancties; wie gaat die opleggen en hoe dicht gaat men tegen de boetemaxima aanzitten ..? The lobby is mightier than the people.

Waarnaast overigens in uw organisatie al zo veel, zo heel veel, kan worden gedaan, al was het maar om te proberen de privacy-positie van uw organisatie een béétje compliant te maken met de huidige wetgeving voorbij het alleen maar ‘hebben’ oftewel benoemen van een privacy officer. Houdt uzelf niet voor de gek; in best wel veel gevallen is dat het enige dat feitelijk is gedaan de afgelopen jaren. Terwijl er al zo veel meer te doen was, voor organisaties die naar de letter, én naar de geest, wilden voldoen aan de aloude privacyrichtlijnen. Want hardcore informatiebeveiliging en privacy, dat was en is nog zelden het geïntegreerde geheel dat het zou moeten zijn.

Dit jaar biedt een prima kans om privacy en informatiebeveiliging weer te integreren. Om te zorgen dat beide papieren tijgers samen tot een serieus resultaat komen. Intellectual Property is daarin de verbindende term. Want daar gaat het dit jaar, meer dan ooit tevoren, om: IP, oftewel Informatie. Dat is wat we met informatiebeveiliging willen beschermen.

Daarvoor zijn diverse actielijnen nodig. Implementatie van de beveiliging in de harde technologie bijvoorbeeld; vaak wel beleden maar niet voldoende budget gegeven. En implementatie in de zachtste technologie; de people, de mens. Hoe beter, geweldiger ook de technische barrières, hoe meer de mens zich zal inzetten om tóch desondanks zijn werk te doen. Als goedschiks niet kan, door ramme­lende informatiebeveiliging (ja het gaat immers over de informatie; die moet beschikbaar zijn waar en wanneer nodig!), dan maar de kleine regeltjes gebroken om aan de grote regels van het daadwerkelijk productief werken te voldoen. Probeer daar maar eens een mouw aan te passen.

En ach, het gedoe om ‘process’ zullen we maar laten; daar is al zo veel budget ingestopt, die papier­berg zou toch eens af moeten zijn. Daar hoeven we in 2015 toch niet meer achteraan lopen? Om over de process-onderdelen governance en compliance maar te zwijgen. De abstracties vliegen om de oren; termen als ‘luchtfietserij’en ‘gebakken lucht’ kunnen niet met feiten of argumenten worden weerlegd. Mitzberg on Managing hebben we toch langzamerhand wel allemaal gelezen en tussen de oren. Het is hetzelfde laken een pak met Three Lines of Defense van ongedefinieerde kwetsbaarheden tegen ... ontdekking door externe instanties als bedreiging..! Wat een pennywise en poundfoolish compliance. Tussen kwaadwillende hacker en de onbekend-is-welke-en-waar informatie, staat nog steeds alleen de mens en de machine.

Terwijl de laatste jaren steeds duidelijker wordt: In een zo snel veranderende wereld kán de papier­berg steeds minder een stabiel comfortabel bureaucratisch doel op zich zijn. We moeten nu eenmaal meer onzekerheid en zeker meer eigen verantwoordelijkheid aanvaarden en ernaar handelen. Door, om maar wat te noemen, meer zelf na te denken. Over wiens intellectual property de informatie is die we verwerken, wat privacy ook alweer is, wat we als burgers ermee kunnen willen, en wat we als organisatie vervolgens dus wel en vooral ook niet moeten willen. Passwords opslaan in een bestand met de naam ‘password’ bijvoorbeeld; wie denkt dat Sony de enige was waar dat voorkwam, haalt wellicht 2016 niet.

Gelukkig zal de wereld in 2015 wat minder do-or-die, wat minder zwart-wit zijn dan hierboven beschreven. We zien een kleine beweging opkomen waarin privacy langzamerhand tussen de oren van steeds meer betrokkenen begint te komen. We zien initiatieven om nu dan toch echt architecturen zo te ontwerpen en bouwen dat niet telkens weer opnieuw om dezelfde gegevens hoeft te worden gevraagd. Met als nadeel dat daarvoor, buiten beeld, bestanden moeten worden gekoppeld… We zien ook steeds vaker op allerlei plekken in organisaties bewustzijn ontstaan of het niet een onsje minder kan. Bijvoorbeeld door vragen over de privacy-implicaties van ontwerpen ook uit overwachte projectorganisatie-hoeken. En er komen uit allerlei ‘governance’–hoeken plots toch wél vragen over de (aanstaande) Europese richtlijnen. Ja, met privacy kunnen we dit jaar vooruitgang boeken.

Maar het effectief maken van de informatiebeveiliging, voorbij installatie van de zoveelste patch en sandboxende firewall zal nog wat meer voeten in aarde hebben. Het effectief maken begint immers bij het begin. Weten we het nog, of al? De (nieuwe) ISO27001:2013 heeft terecht de eigenaren van informatie en hun risico-inschattingen als begin – twee aspecten waar we nog een wereld hebben te winnen. En natuurlijk zullen ‘we’ op de achterhand ons een slag in de rondte kunnen werken aan het dichttimmeren van systemen. Maar “ships are safe in harbour but that’s not what ships are for” en we kunnen de winkel wel volledig afsluiten maar we willen ook nog klanten binnenlaten. Dus zowel aan de voorkant als de achterkant van informatiebeveiliging kunnen we dit jaar best vooruit komen.

Ergo, als we ons inspannen kunnen we langzaam opschuiven van alleen maar vrees en een beetje hoop, naar een balans tússen hoop en vrees. De beste wensen dus voor dit jaar…