Informatiebeveiliging en privacy hebben veel met elkaar gemeen. Op het eerste gezicht lijken ze wellicht zelfs hetzelfde.
Tóch is dit niet het geval. Waar zit nu precies het verschil tussen beide begrippen? En waarom is het van belang dat een organisatie beiden op orde heeft? Ik ga het u in deze blog toelichten!
Om deze vraag te kunnen beantwoorden, kunnen we bijvoorbeeld kijken naar definities die gehanteerd worden in specifieke informatiebeveiligingsnormen.
Laten we de gezondheidszorg hierbij als voorbeeld nemen. Specifiek voor de zorg zijn de NEN 7510 en ISO 27001 belangrijke normen op dit gebied. Sterker nog, de ISO 27001 is op dit moment wereldwijd zelfs de meest gebruikte norm op het gebied van informatiebeveiliging.
De definitie van informatiebeveiliging in de ISO 27001 is als volgt:
“Informatiebeveiliging is het behouden van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie. Daarnaast kunnen ook andere eigenschappen, zoals authenticiteit, verantwoording en onweerlegbaarheid hierbij een rol spelen.”
Meer informatie over de ISO 27001 kunt u vinden op deze pagina van de NEN.
Het bovenstaande maakt al het eerste grote verschil duidelijk tussen de begrippen ‘privacy’ en ‘informatiebeveiliging’.
Privacy heeft namelijk betrekking op méérdere terreinen, terwijl informatiebeveiliging alléén gaat over de bescherming van informatie en persoonsgegevens. Dit laatste noemen we het recht op informationele privacy. Het is dan ook een onderdeel van het recht op privacy.
Laten we dit even vertalen naar de praktijk. Privacy is een vrij breed begrip. Hieronder valt bijvoorbeeld óók dat u recht heeft op privacy in uw eigen huis. Iemand mag dus niet zomaar zonder reden bij u binnen komen vallen.
Informatiebeveiliging houdt echter in dat een organisatie haar informatie en persoonsgegevens goed moet beveiligen. Op die manier kan immers voorkomen worden dat persoonlijke informatie open en bloot op straat komt te liggen. Bijvoorbeeld de informatie van uw klanten of medewerkers.
Wilt u meer lezen over het recht op informationele privacy en de bijbehorende wetgeving? Lees dan hier onze eerdere blog.
Het op orde hebben van de informatiebeveiliging is slechts één onderdeel van het borgen van het recht op privacy. Al is het op orde hebben van uw informatiebeveiliging wél een heel belangrijk onderdeel.
De meeste organisaties maken namelijk relatief veel gebruik van (digitale) persoonsgegevens en (vertrouwelijke) informatie. Denk maar eens aan alle gegevens die u waarschijnlijk heeft van uw klanten en medewerkers!
Een goede bescherming van de informatie en persoonsgegevens omvat echter niet alleen een deugdelijke informatiebeveiliging.
Ook ándere onderdelen binnen het ‘privacymanagement’ spelen een belangrijk rol! Dit wordt bijvoorbeeld duidelijk wanneer we kijken naar de Algemene Verordening Gegevensbescherming (AVG).
Zoals in de blog over de AVG wetgeving duidelijk is geworden, geeft deze wet regels over de wijze waarop informatie en persoonsgegevens beveiligd moeten worden. Dit haakt dus in op het recht op informationele privacy.
Het hanteren van een deugdelijke informatiebeveiliging is een onderdeel van de AVG. Echter is de AVG breder dan dat. Hypothetisch gezien kunt u een mooi systeem voor de informatiebeveiliging hebben opgetuigd, maar alsnóg niet voldoen aan de AVG.
Zo verplicht de AVG bijvoorbeeld dat alle verwerkingen van persoonsgegevens rechtmatig moeten zijn. Hierdoor mag een verwerking van persoonsgegevens alléén plaatsvinden indien daar een rechtmatige grondslag voor is.
Dit is een heel concreet voorbeeld van de reden waarom u zowel de bescherming van de informationele privacy als een deugdelijke informatiebeveiliging op orde moet hebben.
Een ander voorbeeld. De rechten van de personen waarvan organisaties persoonsgegevens verwerken, zijn onder de AVG ook verder uitgebreid. Onder de AVG hebben betrokkenen onder andere het recht op inzage, correctie, vergetelheid, het recht op dataportabiliteit en geldt er een informatieverplichting.
Deze verplichtingen hebben echter meer te maken met de processen binnen een organisatie. Organisaties moeten deze rechten namelijk kunnen faciliteren wanneer betrokkenen er gebruik van willen maken. Het op orde hebben van een deugdelijke informatiebeveiliging heeft daar weinig mee te maken.
Zoals hierboven duidelijk is geworden, zijn privacy en informatiebeveiliging twee losse begrippen die elkaar niet volledig dekken. Ze zijn echter wél nauw met elkaar verbonden.
Zo schrijft de AVG voor dat informatie op een deugdelijke manier beveiligd moet worden én verwijzen zij hierbij naar toepasselijke informatiebeveiligingsnormen (o.a. de NEN 7510). De informatiebeveiligingsnormen schrijven echter weer voor dat organisaties aan de relevante wet- en regelgeving (zoals de AVG) moeten voldoen.
Kortom: (informationele) privacy en informatiebeveiliging overlappen elkaar deels, maar verschillen ook zeker op bepaalde punten. Het is zodoende écht van belang om beide onderdelen op orde te hebben binnen een organisatie!
Heeft u hier hulp bij nodig? Neem contact met ons op!
