Zoeken

Dag van de Informatiebeveiliging

Interview met Willem Flink

In het kader van de Dag van de Gegevensbescherming, deelt het Hoornbeeck College een interview met Willem Flink. Willem is Functionaris Gegevensbescherming en Privacy, en mede-verantwoordelijk voor een goede toepassing van de nieuwe AVG-wet. 

‘AVG’. Veel mensen worden zenuwachtig bij het horen van deze term. Jij ook?

Nee, zenuwachtig word ik niet bij het horen van de term AVG. In aanloop naar 25 mei 2018, de datum waarop de AVG van kracht is geworden, zijn er wel momenten geweest dat ik het spannend vond. Niemand had er tenslotte ervaring mee. In de wereld van de privacy leek het of we de zogenaamde 'millennium bug' aan het herbeleven waren. Nu, ruim een half jaar na dato, merk je dat net als in 2000 het leven gewoon doorgegaan is ondanks deze strenge wetgeving. 

> Tekst loopt door onder foto <

Het Hoornbeeck College heeft een Functionaris Informatiebeveiliging. Dat ben jij. Wat houdt die functie in?

Mijn functie heeft inderdaad de naam 'Functionaris Informatiebeveiliging'. Echter is per 1 januari 2019 'Privacy' aan de functietitel toegevoegd, het is nu 'Functionaris Informatiebeveiliging en Privacy'. De functie bestaat dus uit twee onderdelen. In het kader van informatiebeveiliging houd ik mij bezig met maatregelen en procedures die de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatievormen binnen het Hoornbeeck College garanderen. Bij privacy gaat het om voorlichting aan medewerkers, voorstellen voor maatregelen rondom het gebruik van persoonsgegevens overeenkomstig de AVG en een adviserende rol over alle vraagstukken die betrekking hebben tot de AVG.

Veel organisaties tobben met de AVG-wet. Hoe komt dat?

Dat veel organisatie tobben met de AVG is niet vreemd. Net als met veel wetgeving zijn de artikelen op allerlei verschillende manieren uit te leggen. Het is niet voor niets dat er in de EU een Werkgroup 29 in het leven was geroepen om toelichting en verduidelijking te geven over de AVG. Ook het ontbreken van jurisprudentie geeft onzekerheid. Het is nog niet mogelijk om AVG zaken te toetsen aan uitspraken van de rechterlijk macht.

Het Hoornbeeck heeft niet alleen een Functionaris Informatiebeveiliging, maar ook een Functionaris Gegevensbescherming? Wat is het verschil?

Het verschil tussen deze twee functionarissen is niet zo ingewikkeld. De Functionaris Informatiebeveiliging en Privacy (FIP) gaat met name over het treffen van de noodzakelijke organisatorische, procedurele en technische maatregelen. De Functionaris Gegevensbescherming (FG) is binnen de organisatie verantwoordelijk voor de naleving van de regelgeving die voortvloeit uit de AVG. Binnen het Hoornbeeck College is er voor gekozen om de taak van de FG te beperken tot een toezichthoudende rol en diverse meer uitvoerende taken te beleggen bij de functionaris Informatiebeveiliging en Privacy.

Hoe doet het Hoornbeeck College goed?

Het Hoornbeeck College besteed een redelijk deel van de beschikbare middelen aan bewustwording. Daarmee bereiken we bijvoorbeeld onze medewerkers door het uitvoeren van verschillende campagnes. Ook worden regelmatig systemen getest of ze gevoelig zijn voor onrechtmatige toegang van buitenaf. Daarnaast laten we het gedrag van medewerkers testen door bijvoorbeeld het versturen van phishingmail.

Wat kan het Hoornbeeck College beter doen?

Op sommige terreinen moeten we waakzaam zijn dat we niet doorslaan en teveel informatie vastleggen en delen binnen de organisatie. Uit een kramp om te voldoen aan alle regels en eisen, druk je onbedoeld goede initiatieven de kop in. Dat kan nooit de bedoeling zijn. We zijn hard aan het zoeken naar een goede balans. 

Hoe ziet de toekomst er uit als het om AVG gaat?

De privacywetgeving was er al langer. In Nederland was die bekend als de 'Wet Bescherming Persoonsgegevens'. Omdat bedrijven meer en meer onze privélevens binnendringen, was het noodzakelijk om strengere wetgeving te maken. In de toekomst zullen alle instanties nog beter na moeten gaan denken over het verwerken van persoonsgegevens. De verwachting is dat toezichthouder Autoriteit Persoonsgegevens strenger op zal gaan treden. Ik verwacht dat er meer en grotere boetes uitgedeeld zullen gaan worden, om data-verzamelende-giganten te dwingen hun verzameldrift binnen de perken te houden. De eerste storm over de implementatie is geluwd. Als 'gewone burgers' hebben we met de komst van de AVG meer zeggenschap gekregen over onze persoonsgegevens. Ik verwacht dat een deel van de burgers hier ook gebruik van zal gaan maken. Ten laatste: het zal naar verwachting nog wel enkele jaren gaan duren voordat er voldoende jurisprudentie zal zijn om de AVG goed te kunnen interpreteren.

1057