De Chief Security Officer heeft overal verstand van. Dus ook van de AVG.

In mijn blog: De AVG: Waarom ben ik nog verbaasd en kan ik nog verbazen? schreef ik over mijn visie op de impact van de Algemene Verordening Gegevensbescherming (AVG) op informatieveiligheid. Afgelopen week schoof ik aan bij het Conclusion ‘architecten overleg’. Architecten van verschillende bedrijven uit het Conclusion ecosysteem wisselen daar hun kennis, ervaringen en visie uit. Hartstikke interessant en cruciaal om in een breed technisch en zakelijk speelveld te volgen waar ballen naartoe rollen en daarop tijdig in te spelen.

De rol en positie van architecten heeft wel wat gemeen met die van (Chief) Security Officers. Architecten hielden tot voor kort nog alle ballen in de ballenbak dankzij hun formele positie als ‘design authority’. Nu bewegen ze, net als eigentijdse Security Officers, naar een positie waarbij de organisatie wordt geholpen door de weg te wijzen en binnen de witte strepen op de weg te laten rijden. En soms – proportioneel – in te grijpen als dat niet gebeurt.

In deze en andere bijeenkomsten gaat men er al snel vanuit dat de Chief Security overal verstand van heeft. Ik voel me gevleid, maar gelukkig ben ik niet bang om ‘domme’ vragen te stellen. En daar wordt gewoon met respect op gereageerd. Natuurlijk vertrouw ik ook vaak op mensen en op intuïtie. Naast kennis, een brede interesse en zin om veel informatie te verwerken is ervaring echt essentieel voor de hedendaagse Chief Security rol...

Overleg met juristen verloopt in eerste instantie vaak wat anders. Een jurist (m/v) gaat er vaak vanuit dat je hem/haar toch niet kan volgen. En begint met ‘neen, mag niet’. Terwijl ik mijn security collega’s juist altijd vraag te antwoorden met; ‘ja, mits’ gevolgd door haalbare condities.

Dankzij ontwikkelingen rond privacy heb ik als Security Officer de laatste jaren veel en constructief met juristen mogen samenwerken. En een bevriende jurist heeft me ooit uitgelegd wat de ratio achter de initiële ‘neen’ houding is. Maar in deze tijd, met snelle ontwikkelingen, is vaak niet veel tijd voor een ‘onderhandelingsproces’ en moeten Security Officers en juristen samen snel en met ‘risk appetite’ meedenken om het schijnbaar onmogelijke toch mogelijk te maken.  

Kortom; de AVG is een aanjager om de samenwerking van Security Officers en juristen te versterken. Alleen dan staan ze niet in de weg als ‘business preventie afdelingen’ bij vernieuwende bedrijfsprocessen en technologische innovaties.

Zoeken we elkaar al genoeg op? Niet altijd, ik zie nog te vaak dat een (AVG) verwerkersovereenkomst te generiek – dus weinig effectief – wordt gehouden of onvoldoende de risico’s uit de DPIA adresseert. Juridisch is de verwerkersrelatie dan mogelijk wel goed genoeg afgedekt of in ieder geval voldoende om ‘een juridische procedure’ te vermijden. Maar of je dan kunt spreken van effectieve bescherming van persoonsgegevens? De afstemming tussen juridische overeenkomsten en effectieve veiligheid is best ingewikkeld en kan echt alleen maar ‘multidisciplinair’ tot stand komen. De gecombineerde vakkennis en ervaring van de jurist en Security Officer speelt daarbij een cruciale rol. Met wederzijds respect en affiniteit voor elkaars vak; juristen met gevoel voor security en security professionals met gevoel voor juridische argumenten.

Ook dat gaan we de komende jaren beter leren; ook dat is digitale transformatie.