Blog: FG en CISO: ogen open en weg met de glazen bol

We ontvangen bij de IBD vragen over thema’s die ver in de toekomst, ver buiten het gemeentelijk domein liggen of zelfs puur theoretisch van aard zijn. Hoe gaan we om met AI, Big Data, Blockchain en Quantum Computing? Wat als het EU-US Privacy Shield ongeldig wordt verklaard door het Europese Hof? Moeten we Chinese componenten weren uit onze aanbestedingen? Het antwoord op deze vragen is dat onze adviseurs dat ook niet precies weten…

De AVG, de BIO en een toenemend aantal artikelen in de media zorgen voor een opleving in de aandacht voor informatiebeveiliging en privacy. Dat is positief voor jou als FG en CISO, want dat betekent dat de kans groot is dat je eindelijk een luisterend oor vindt bij de bestuurder, de afdelingsmanager en de medewerkers. Wij adviseren om de verhoogde aandacht heel bewust te benutten voor de belangrijkste issues, de grootste risico’s en de meest urgente vraagstukken.

Een nieuwsbericht over vermeende spionage door het gebruik van Huawei telefoons maakt de CISO en FG alert en dit zorgt voor adviesvragen bij de IBD. Dat is natuurlijk best logisch, omdat het immers groot in het nieuws is, maar in feite zou een dergelijk nieuwsbericht niets moeten wijzigen aan de risico gestuurde lange termijn aanpak die past bij informatiebeveiliging en privacybescherming.

Informatiebeveiliging en privacybescherming vormen in de eerste plaats een proces van plannen, uitvoeren, controleren en bijstellen. Natuurlijk kan er een incident optreden en dan is het tijdelijk alle hens aan dek. Voor de lange termijn aanpak kijk je als CISO en FG vooruit en kijk je of de organisatie nog op de juiste koers zit. Risico’s kunnen veranderen en plannen kunnen worden bijgesteld. Vooruitkijken doe je bij voorkeur met het blote oog, op basis van feitelijke informatie en niet op basis van geruchten, speculaties of een glazen bol.

Wie scherp ziet, ontwaart voldoende uitdagingen die in het hier en nu dienen te worden aangepakt. Hoe zorg je als CISO dat je vat krijgt op alle ICT-componenten in de organisatie en dat alle soft- en hardware op tijd voorzien wordt van updates? Hoe zorg je als FG voor privacybewustzijn in complexe ketensamenwerkingen? En lukt het jou als FG om uit de comfortzone van de juridische regels te komen en jouw kostbare tijd in te zetten voor een pragmatische omgang met dataverzamelingen? Hoe zorg je er samen voor dat de afdelingshoofden hun verantwoordelijkheid voelen en nemen voor een ordentelijke omgang met informatie? Hoe richten we een systeem in waarmee medewerkers veilig bestanden kunnen uitwisselen en wat is de minimale hoeveelheid informatie waarmee wij en onze ketenpartners ons werk optimaal kunnen uitvoeren? Op het lijstje van grootste en belangrijkste uitdagingen staan deze zaken bovenaan. Mogelijke Chinese spionage en de geldigheid van internationale verdragen spelen natuurlijk ook, en de media-aandacht die deze onderwerpen genereren kan je goed helpen om jouw lange termijnplanning onder de aandacht te brengen. De FG en de CISO doen er goed aan de prioriteiten met elkaar te bepalen en veelvuldig samen op te trekken.

Ons advies aan de FG en de CISO: Gebruik gezamenlijk de media-aandacht wijs en vraag aandacht voor de belangrijke en urgente zaken in je organisatie. Houd het grote geheel in de gaten en bedenk goed wat de achterliggende gedachten van de BIO en de AVG zijn: een op risico gebaseerde aanpak en zorgvuldige en bewuste omgang met (persoons)gegevens. Kijk vooruit en baseer je op de feiten. Laat je beeld niet vertroebelen: houd koers!

Nausikaä Efstratiades, Hoofd IBD