Tobias van Oerle

Informatiebeveiliging wordt (deels) door de aanwezigheid van duidelijke kaders en normen ook vaak ingestoken vanuit een 'dit mag niet' houding. Dit leidt vaak niet tot het beste resultaat omdat mensen gewoonweg niet zo werken. Het benaderen zoals we dat ook met informatiemanagement doen is veel effectiever.

Binnen de wereld van informatiebeveiliging, privacy en kwaliteit wordt een managementsysteem vaak gezien als een vereiste om het werk goed uit te kunnen voeren. Wordt het doel dat met een mangementsysteem wordt beoogd hier ook daadwerkelijk mee bereikt óf is het vooral een papieren tijger?

Een risico-inventarisatie? Waarom moet dat? We implementeren gewoon de vereiste maatregelen en dan zijn we klaar, toch?'. Tobias van Oerle geeft drie belangrijke argumenten om vandaag nog met risicomanagement te beginnen.

Het niet spreken van elkaars taal, onduidelijke verwachtingen en niet in staat zijn om naar het expertiseniveau van je gesprekspartner te schakelen zijn redenen dat er vaak ruis in samenwerkingen ontstaat. Als informatiemanager fungeer ik dagelijks als tolk tussen de primaire processen en de ICT om de samenwerking soepel te laten lopen. 

Het is bijzonder te zien wat er in korte tijd op digitaal gebied veranderd en opgezet is. Deze veranderingen waren noodzakelijk want het was en is crisis. Maar wacht niet te lang met het voorbereiden van je organisatie op het einde van de crisis. In mijn dagelijkse praktijk kom ik vijf onderwerpen met betrekking tot digitalisering tegen die op dit moment aandacht vragen met het oog op de toekomst.

André van Nijkerken beschrijft vijf aandachtspunten voor de bestuurder van een veiligheidsregio rondom de invoering van de Omgevingswet.

Burgers accepteren steeds minder en dienen vaker een klacht in bij de Autoriteit Persoonsgegevens. Privacy moet een structureel onderdeel zijn van je organisatie. Als de basis ontbreekt dan blijf je achter de feiten aanlopen. De basis zet je neer door het inrichten van een privacy governance.

Is uw organisatie goed beschermd? Privacy is een continu proces. Zorg dat je een proces ingericht hebt waardoor je als organisatie privacybescherming continu op de agenda hebt. Ook als er (even) geen signalen van buitenaf komen.

Door toenemende samenwerking met (overheids)partners neemt de ketenverwerking van persoonsgegevens toe. Het wordt steeds meer organisaties duidelijk dat als er in ketens gewerkt wordt, de uitdagingen en risico's rondom bescherming van persoonsgegevens ook groter worden. Tobias van Oerle deelt zijn geleerde lessen en ervaring met privacy in de keten.

DPIA: op verwerkingen met mogelijk hoge risico’s is het onder de AVG verplicht een DPIA uit te voeren. Een gesprek dat ik vaak met klanten voer is of een DPIA op een proces of een applicatie uitgevoerd zou moeten worden. De opvattingen verschillen hier per organisatie nogal over. Vanuit mijn werk heb ik vier argumenten om DPIA’s op procesniveau uit te voeren.