“Hoe beter de privacy is geregeld, hoe duurzamer het gebruik van data is”

Zoals we in ons eerder verschenen artikel lieten zien, krijgt duurzaamheid binnen de ICT-sector nog (te) weinig aandacht [1]. Tegelijkertijd zijn wij en onze collega’s er ongemerkt al meer mee bezig dan wijzelf doorhebben. ICT en duurzaamheid zijn namelijk nauw verbonden met elkaar op meerdere manieren. We vroegen een aantal van onze collega’s hoe zij al bezig zijn met het thema duurzaamheid binnen hun expertisegebied. We trappen af met Marit Wensink, adviseur Informatiebeveiliging en Privacy (IB&P), waar we opvallende raakvlakken tussen haar adviesgebied en duurzaamheid zien!

Duurzaamheid en Privacy: wat hebben die twee met elkaar te maken?

''Het is in het belang voor zowel privacy als duurzaamheid dat data zonder doelbinding vernietigd wordt.''

“IB&P bestaat uit twee delen: informatiebeveiliging en privacy. Ik zie voor beide vakgebieden een eigen relatie met duurzaamheid.

De relatie tussen duurzaamheid en privacy zit in de hoeveelheid data die verzameld wordt. Er wordt vaak te veel data verzameld, wat een nadelig effect heeft op zowel privacy als duurzaamheid. Veel data zijn niet duurzaam qua energieverbruik (zie onderaan eerdere artikelen over duurzaamheid). En veel persoonsgegevens opslaan is niet goed voor privacy, omdat de verzamelde data niet altijd bijdragen aan het doel waarvoor ze verzameld worden. Daarbij wordt ook de kans op datalekken vergroot. Om dat te voorkomen zijn bewaartermijnen ingericht. Maar bewaartermijnen worden niet gehandhaafd, waardoor data zonder doelbinding (waarbij organisaties persoonsgegevens verzamelen en bewaren zonder een gerechtvaardigd doel) worden bewaard. Opgeslagen data zonder doelbinding is nutteloos omdat je data bewaard die je niet nodig hebt voor je doel, en daar wel kosten voor maakt. Het is in het belang voor zowel privacy als duurzaamheid dat data zonder doelbinding vernietigd wordt.

Ik vermoed dat we klanten, door op het duurzaamheidsaspect te wijzen, eerder bereid kunnen krijgen data te gaan vernietigen dan vanwege privacy. Ik denk dat je kunt stellen: hoe beter de privacy is geregeld, hoe duurzamer het gebruik van data is.”

Duurzaamheid en informatiebeveiliging: wat hebben die twee met elkaar te maken?

''Hoe beter je informatiebeveiliging is geregeld, hoe meer energie het kost en dus hoe minder duurzaam.''

“De relatie tussen informatiebeveiliging en duurzaamheid is omgekeerd. Hier geldt vaak: hoe beter je informatiebeveiliging is geregeld, hoe meer energie het kost en dus hoe minder duurzaam. Dit komt bijvoorbeeld door de hoeveelheid back-ups wat veel dubbele dataopslag kost. Een onderdeel van informatiebeveiliging draait ook om hardwarebeheer. Je wil namelijk in het kader hiervan dat er in je organisatie gebruik wordt gemaakt van veilige hardware. Dat betekent dat de hardware regelmatig voorzien wordt van updates (patches) waarmee ze beschermd blijven tegen cyberaanvallen. Als hardware niet meer voorzien worden van zulke updates, omdat ze bijvoorbeeld verouderd zijn, kiezen organisaties er vaak voor om de hardware volledig te vernieuwen, wat natuurlijk geen duurzame keuze is.

Gelukkig zijn er steeds meer organisaties die hun hardware langer blijven patchen, waarmee de levensduur van de hardware verlengd wordt. Dit wordt niet alleen gedaan vanuit duurzaamheidsoogpunt, maar vooral ook omdat het verlengen van de levensduur van (dure) hardware goedkoper is dan regelmatig nieuwe hardware aanschaffen.”

Je weet hier veel van, waar komt die kennis vandaan?

''Ik kwam erachter dat duurzaamheid op verschillende manieren terugkomt in mijn werk. “

“Op de dag van dit interview heeft het 34 dagen niet geregend. Ik maak me zorgen over het klimaat en heb van huis uit geleerd dat je goed moet zorgen voor de aarde. Iedereen heeft een verantwoordelijkheid om bij te dragen aan oplossingen. Zelf had ik in eerste instantie niet de link gelegd tussen mijn vakgebied IB&P en duurzaamheid. Sinds een eerder gesprek met Matthijs ben ik er meer over na gaan denken en kwam ik erachter dat duurzaamheid op verschillende manieren terugkomt in mijn werk. “

Heb je je kennis ook al eens in de praktijk gebracht bij een van onze klanten? Hoe ging je te werk en wat was de reactie van de klant?

''Ik gebruik duurzaamheid sinds kort wel als ‘waarde’ die in lijn ligt met privacy.''

“Tot nu toe nog niet. De meeste CISO’s zijn niet bezig met duurzaamheid in hun werk. Het zijn vaker bestuurders die er wel mee bezig zijn. Ik gebruik duurzaamheid sinds kort wel als ‘waarde’ die in lijn ligt met privacy. In de lijst met waarden zet ik duurzaamheid meestal hoger dan ‘voldoen aan de wet- en regelgeving als AVG’. Dat spreekt bestuurders aan. Ik denk dat het heel erg ligt aan wie je spreekt of je het onderwerp duurzaamheid wel of niet kunt noemen als motivator.”

Bij IB&P zullen veel mensen niet direct aan duurzaamheid denken: Hoe denk je dat duurzaamheid meer centraal kan komen te staan binnen IB&P?

''Een integrale benadering van duurzaamheid over de hele organisatie, dus ook in privacy en informatiebeveiliging, helpt in het centraal zetten hiervan in de bedrijfsvoering.''

“Zoals eerder genoemd zie ik zeker bij privacy wel een goede link en die moeten we ook vaker zo benoemen. Bij informatiebeveiliging is dat lastiger, omdat goede informatiebeveiliging ook veel energie kost. Wel is het goed om organisaties er bewust van te maken dat dit zo is. Bovendien wordt er van overheids- en zorgorganisaties steeds meer verwacht dat zij duurzaamheid centraal hebben staan in hun bedrijfsvoering. Een integrale benadering van duurzaamheid over de hele organisatie, dus ook in privacy en informatiebeveiliging, kan daarbij helpen.”

Wat zou je onze adviseurs en klanten nog willen meegeven als ze aan de slag gaan met duurzaamheid en IB&P?

''Door een goede informatiehuishouding heb je naast privacy en duurzaamheid namelijk meteen ook openheid, kennisdeling en lagere financiële kosten.”

“Een informatiehuishouding die op orde is, is de basis voor duurzame ICT. Bij een groot deel van onze klanten zie ik dat dit nog niet zo is. Hoe eerder je je als organisatie afvraagt hoe lang data bewaard moet worden, hoe makkelijker het is om de waarde van de data in te schatten en daar het juiste mee te doen. Privacy en duurzaamheid zijn voor sommige organisaties allebei een ‘moetje’ die je afhouden van je primaire proces. Maar in dat ‘moeten’ en het op orde brengen van je informatiehuishouding kun je veel vliegen in één klap slaan. Door een goede informatiehuishouding heb je naast privacy en duurzaamheid namelijk meteen ook openheid, kennisdeling en lagere financiële kosten.”

ICT en duurzaamheid zijn nauw verbonden met elkaar

Na dit gesprek met Marit kunnen we concluderen dat zowel duurzaamheid als informatiebeveiliging en privacy kwaliteitsaspecten zijn van informatie. Het goed regelen van deze drie aspecten verhoogt de kwaliteit van informatie: een belangrijke reden om hier mee aan de slag te gaan, naast dat het de uitstoot van CO2 vermindert. Hierbij versterken duurzaamheid en privacy elkaar, waar informatiebeveiliging en duurzaamheid eerder elkaar tegenwerken. Voor alle drie de aspecten is van belang dat er een goede informatiehuishouding aan de basis ligt.

Dus:

• Breng je privacy op orde en zorg meteen voor duurzame omgang met data (of andersom, afhankelijk van wat op het meeste draagvlak kan rekenen in je organisatie). 
• Zoek de balans tussen goed beveiligde informatie en duurzame informatie. Beide zijn kwaliteitsaspecten van informatie waar rekening mee gehouden moet worden.