De termen privacy en informatiebeveiliging worden regelmatig door elkaar gehaald. Maar hoe u als organisatie om moeten gaan met deze onderwerpen is niet hetzelfde. Heel kort gezegd gaat privacy over het correcte gebruik van persoonsgegevens die binnen een organisatie worden verwerkt. Informatiebeveiliging gaat over het treffen van maatregelen om de beschikbaarheid, vertrouwelijkheid en integriteit van informatie binnen een organisatie te beschermen. Beide zijn belangrijk voor uw organisatie, maar het is goed om het verschil te begrijpen. Daarom zetten wij de belangrijkste verschillen op een rijtje.
Privacy gaat alleen over persoonsgegevens, informatiebeveiliging omvat alle gegevens van een organisatie
Gegevens die direct of indirect herleidbaar zijn naar personen vallen onder de privacywetgeving. Maar als een Security Officer nadenkt over de informatiebeveiliging, dan worden alle gegevens van de organisatie bedoeld. Het informatiebeveiligingsbeleid gaat over financiële gegevens, e-mailadressen, klantgegevens, productontwerpen etc. Het toepassingsgebied is dus beperkter, maar er valt meer onder privacy dan u vaak denkt. Alle gegevens die te herleiden zijn naar een persoon, vallen onder privacy.
Wie schrijft wat voor?
Privacy
Privacy is vastgelegd in wetgeving, de belangrijkste algemene privacy wet is de AVG. De AVG bevat voorschriften voor bedrijven en organisaties in de EU over het verwerken (verzamelen, opslaan, bewerken, etc.) van persoonsgegevens. Als uw persoonsgegevens verwerkt is het inrichten van uw privacy beleid verstandig voor elke organisatie in Nederland – groot of klein, bedrijf of overheid. Daarnaast biedt de ISO27701 norm eisen en richtlijnen voor het inrichten en verbeteren van uw privacy informatiemanagement systeem.
Informatiebeveiliging
Informatiebeveiliging is vastgelegd in normen, de ISO 27001 is daar de bekendste van. Het is niet verplicht om u hieraan te houden, maar een middel om aan te tonen dat u uw informatiebeveiliging goed op orde heeft en dat u een betrouwbare partner bent.
Privacy beschermt de mensen, informatiebeveiliging de organisatie
Privacy
Privacy gaat om het verkleinen van risico’s die invloed hebben op iemands rechten en vrijheden. Denk bijvoorbeeld aan de volgende risico’s:
- Persoonsgegevens komen bij mensen terecht die ze niet horen te zien
- Persoonsgegevens raken kwijt
- Persoonsgegevens zijn onjuist
- Identiteitsfraude
De privacywetgeving, zoals de eerdergenoemde AVG, geeft aan welke risico’s u als organisatie moet vermijden of verkleinen. Doet u dat niet, dan kunt u flinke boetes krijgen.
Informatiebeveiliging
Informatiebeveiliging is juist gericht op de belangen van de organisatie zelf. Het doel van het informatiebeveiligingsbeleid is om de continuïteit van de organisatie te waarborgen en ervoor te zorgen dat belangrijke informatie niet op straat komt te liggen. Ook moet het informatiebeveiligingsbeleid ervoor zorgen dat incidenten, zoals een phishing-aanval, netjes worden opgelost.
Transparant of geheimzinnig
Privacy
Stelt u voor, u verzamelt gegevens van uw klanten. Volgens de AVG moet u heel duidelijk zijn over wat u met die gegevens doet. Het is uw taak om uw klanten te informeren over hoe hun gegevens worden gebruikt middels een privacyverklaring en om hun toestemming te vragen als dat nodig is met een toestemmingsformulier. Deze manieren van communiceren zijn volgens de AVG verplicht, zodat iedereen weet wat er met hun informatie gebeurt.
Informatiebeveiliging
Voorgaande heeft niet de hoogste prioriteit in informatiebeveiliging. Zij geven liever niet te veel informatie over beveiligingsincidenten, omdat toekomstige aanvallers die informatie kunnen gebruiken. Veel IT-beveiligers weten dat geheimhouding niet altijd de beste manier is om veilig te blijven, maar toch is hun werk er vaak deels afhankelijk van. Het is bijvoorbeeld beter om niet te veel te vertellen over hoe het netwerk precies beveiligd is. Wachtwoorden en encryptiesleutels moeten natuurlijk altijd geheim blijven.
Conclusie
Het is duidelijk dat zowel privacy als informatiebeveiliging belangrijk zijn voor uw organisatie, maar ze hebben verschillende doelen en vereisen een andere aanpak. Privacy draait om het beschermen van persoonsgegevens om de rechten en vrijheden van individuen te waarborgen en informatiebeveiliging richt zich op het beschermen van belangrijke gegevens binnen een organisatie om de continuïteit en veiligheid van de bedrijfsvoering te waarborgen. Privacy en informatiebeveiliging gaan vaak hand in hand en door beide aspecten goed te beheren, kunt u niet alleen voldoen aan wettelijke vereisten maar ook het vertrouwen van klanten en partners winnen en behouden.
Mocht u aan de slag willen met privacy en/of informatiebeveiliging en heeft u daar hulp bij nodig? Dan staan onze consultant altijd voor u klaar.
Dit artikel is geschreven door Gabriela van Ooststroom. Heeft u hulp nodig of vragen? Neem dan vrijblijvend contact met haar op.