Organisaties zijn bezig met de implementatie van privacy by design en horen van ethics by design, terwijl security by design nauwelijks nog genoemd omdat het al als een vanzelfsprekendheid wordt gezien. Aandachtsgebieden van dataverwerkingen in de ICT-sector verschuiven. Ze worden jammerlijk vaak door elkaar gehaald waardoor essentiële onderdelen onderbelicht blijven. In dit artikel daarom een toelichting op deze aandachtsgebieden die niet aan elkaar gelijk zijn maar elkaar wel kunnen versterken.
Security by design
Elke organisatie heeft data nodig. Of het nu de overheid, het bedrijfsleven of de sportvereniging is. Op betrouwbare informatie moeten ze allemaal leunen. Informatie Management voorziet ze hierin met informatiesystemen en -stromen. Hoewel een organisatie gebaad is bij zo’n informatievoorziening (IV) neemt het de data-afhankelijkheid niet weg. Mocht de data niet toegankelijk zijn, onjuist blijken of in verkeerde handen komen dan heeft dat een negatieve impact op de organisatie. Informatiebeveiliging (IB) richt zich op het mitigeren van dit soort risico’s. Beveiligingsmaatregelen worden getroffen om waardevolle informatie te beschermen om onheilspellende scenario’s voor de organisatie te voorkomen. Security by design duidt erop dat deze maatregelen al in het ontwerp van de ICT-voorziening wordt meegenomen. De vroegtijdige keuzes die hierin vanuit security by design worden gemaakt, al dan niet gebaseerd op standaarden als ISO 27001, richten zich op het behoud van beschikbaarheid, integriteit en vertrouwelijkheid van informatie. In organisaties is de verantwoordelijkheid voor het gehele systeem van informatiebeveiliging veelal belegd bij een Chief Information Security Officer (CISO). Nieuwe ICT zal aan de IB-vereisten moeten voldoen maar kan ook meeliften met al getroffen maatregelen. Gesteld kan worden dat de ICT-voorzieningen hand in hand met informatiebeveiliging een ideale mix is ten faveure van de kansen en mogelijkheden van de organisatie. Rekening houdend met de risico’s voor de organisatie en het gevolg van eigen professionele keuzes.
Privacy by design
Deze ideale mix focust zich op de (maximaal positieve en minimaal negatieve) impact op de organisatie. De AVG heeft hier begrip voor maar houdt de organisatie nadrukkelijk ook verantwoordelijk voor de impact die het kan hebben op mensen van vlees en bloed. Het vereist een ander perspectief. Een focus op risico’s voor anderen die betrokken worden bij de door de organisatie gemaakte keuzes. Hier gaat het niet om het beschermen van voor de organisatie waardevolle informatie, maar om het beschermen van de persoonlijke levenssfeer van anderen die daardoor geraakt worden. Zodra er persoonsgegevens worden verwerkt dan is de organisatie verplicht zich aan privacyregels te houden. Dit omvat onder meer de vraag of de gegevens überhaupt verwerkt mogen worden of op welke manier en voor hoe lang. Privacy by design duidt erop dat er in het design van die verwerking al rekening wordt gehouden met de AVG-bepalingen. Zo moet aantoonbaar worden voldaan aan beginselen als doelbinding en dataminimalisatie. Betrokkenen moeten geïnformeerd worden en van overige rechten gebruik kunnen maken. Een administratie moet bijgehouden worden. Enkele verboden zijn wellicht van toepassing die nog opgeheven moeten worden en mogelijk dat er een verplichting is om een privacy impact assessment te doen. Ook geldt dat persoonsgegevens die verwerkt mogen worden, correct en passend beveiligd moeten zijn. Privacy omvat meer dan het beveiligen van data maar security by design levert hieraan dus weldegelijk een bijdrage. Andersom geldt dat privacy weliswaar niet naar de bedrijfsrisico’s kijkt maar dat privacy by design de kans op imago- en financiële voor de organisatie weldegelijk reduceert. Privacy by design en security by design kunnen elkaar dus versterken. Verantwoordelijk voor privacy-naleving, waaronder privacy by design, is (het bestuur van) de organisatie zelf. Expert op het gebied van de AVG is de Data Protection Officer (DPO). Hij/zij ziet op de naleving toe en kan (on)gevraagde adviezen geven. Een onafhankelijke functionaris die in sommige gevallen ook verplicht moet worden aangesteld.
Ethics by design
Een ICT-voorziening die adequaat wordt beveiligd en voldoet aan de privacyregels laat mogelijkheden zien met gerechtvaardigde doelen. Het beantwoordt de vraag of iets technisch kan en juridisch mag. Of de verwerking van persoonsgegevens ook ‘behoorlijk’ is en ‘in het teken van de mens’ staat, is nog maar de vraag. De AVG vergt dit wel. Ethiek pakt dit stokje op en voegt er de vraag aan toe of we het ook moeten willen. In tegenstelling tot bijvoorbeeld de medische sector, waarin ethische commissies heel gangbaar zijn, is deze tak van sport in de ICT-sector nog geen gemeengoed. Toenemende afhankelijkheid en maatschappelijke impact schreeuwt om een ethisch kompas. Het vult de gerechtvaardigde doelen aan met ethische doelen. De focus verschuift hierbij van de bescherming van de persoonlijke levenssfeer van individuen naar de bewaking van de democratische samenleving waarin we willen leven. Ethics by design klinkt voor sommigen vaag maar speelt een cruciale rol in het succes van een specifieke ICT-toepassing of het vertrouwen van mensen in technologie in zijn geheel. Ethiek is de kracht achter betrokkenheid en loyaliteit van klanten. En omdat nationale toezichthouders ook de taak hebben gekregen om mensen meer bekend te maken met dit soort aspecten, zou de rol van ethiek groter kunnen worden als het grote publiek ziet of meent dat iets is ‘niet goed’ is, los van of het wettelijk mag of niet.
Tot slot
Organisaties die zich bewust zijn van de aandachtsgebieden security, privacy en ethiek in hun dataverwerkingen, kunnen ze elkaar laten versterken en blinde vlekken voorkomen. Door deze gebieden daadwerkelijk aandacht te geven, zijn ze in staat naar verwachting te presteren, zich te onderscheiden of juist voorop te lopen. De keuze is aan de organisatie zelf. Zij het dat hierin niet kan worden volstaan met een correct werkende ICT-voorziening. Ook de privacy van anderen zal aantoonbaar moeten worden gerespecteerd. Het mag vanuit het perspectief van een ICT-organisatie een wereld apart lijken; Gartner pleit er juist in deze sector voor om de volgende stap van compliance gestuurde organisaties (mag het?) naar ethiek gestuurde organisaties (moet we het willen?) te maken. Dit vraagt een andere blik op zaken en is tevens een pleidooi voor diversiteit. Niet alleen in termen van geslacht en afkomst in het ontwikkelteam maar ook in disciplines. Als het relevant maar moeilijk is om na te gaan of iets wel of niet mag of dat iets wel of niet maatschappelijk verantwoord is, zou samenwerken met experts op deze gebieden een goede zijn. Zijn we in staan om uit de technische, juridische en filosofische kokers te komen dan kunnen we de wereld pas echt beter maken.