Bij informatieveiligheid is de insteek van organisaties vaak ‘als we voldoen aan de regels, zitten we goed’. Dat is te hoog over in de ogen van Vince Blondeel Timmerman, managing consultant bij Berenschot. “Organisaties moeten inzien dat privacybescherming en informatiebeveiliging pas werken als hun medewerkers het belang ervan inzien en hun rol onderkennen bij het veilig en compliant verwerken van persoonsgegevens.”
Het besef van het belang van informatieveiligheid – de overkoepelende term voor privacy en informatiebeveiliging – binnen organisaties is nog relatief jong. Pas sinds de invoering van de AVG, vastgesteld in 2016 en van kracht sinds mei 2018, wordt privacy en informatieveiligheid in Europa structureel opgepakt. Daarmee zijn organisaties verantwoordelijk voor informatieveiligheid en controleert de Autoriteit Persoonsgegevens met regelmaat of zij aan de eisen voldoen. Informatieveiligheid is dus al geruime tijd niet vrijblijvend.
Meer dan afvinken
Bijvoorbeeld: of een medewerker nu onderwijs geeft, onderzoek doet of een wettelijke taak uitvoert, in alle gevallen moet hij of zij dit op een veilige manier te doen. “Dus als organisatie niet alleen geïmplementeerde regels afvinken, maar zorgen dat iedereen veilig werkt”, aldus Blondeel Timmerman. “Zonder dat dit al te ingewikkeld wordt. Je moet het voor medewerkers zo logisch en makkelijk mogelijk maken. Op die manier komt veilig omgaan met gegevens in het DNA van een organisatie te zitten.”
Ondersteunen en trainen
Daarbij is een belangrijke rol weggelegd voor de bestuurders. Blondeel Timmerman: “Je kunt informatieveiligheid wel op een goed niveau willen hebben en daarom strengere wachtwoordregels invoeren. Maar zorg er dan ook voor dat IT-systemen ondersteunen bij het bedenken en instellen van moeilijke wachtwoorden. Dan zullen medewerkers eerder geneigd zijn het juiste te doen.” Daarnaast is bewustwording bij medewerkers essentieel: dat zij begrijpen dat ze werken met vertrouwelijke informatie. “Maak informatieveiligheid daarom onderdeel van onboarding, train medewerkers regelmatig, bijvoorbeeld via e-learning en houd herhaalsessies.”
Controle bij overdracht
Een ander belangrijk aandachtspunt bij het gebruik van persoonsgegevens, is de route die persoonsgegevens afleggen. Een gemeente levert bijvoorbeeld gegevens aan de GGD, die ze op zijn beurt deelt met het UWV. “Elke organisatie kijkt naar het eigen stukje, maar niet naar de gehele route van data”, schetst Blondeel. “In de overdrachtsmomenten mist regelmatig dan de controle op wie wat ontvangt en waarom, en of dat veilig gebeurt. Als je persoonsgegevens in bijvoorbeeld een Excel-sheet via een onbeveiligd mailsysteem naar een andere organisatie verstuurt, is er in feite al sprake van een datalek.”
Toeslagenaffaire
Als treffend voorbeeld van het verkeerd omgaan met persoonsgegevens wijst Blondeel Timmerman op de Toeslagenaffaire. “Daar zijn gegevens van veel burgers onrechtmatig gebruikt. Dat heeft geleid tot groot menselijk leed en blijkt enorm kostbaar om op te lossen”, zegt hij. “De aanleiding betrof fraude door voornamelijk Bulgaren, waarmee een bedrag van circa 5 miljoen euro gemoeid was. De kosten om de kwestie recht te trekken worden inmiddels begroot op zo’n 30 miljard euro.”
Meteen actie
Incidenten rond de beveiliging van persoonsgegevens hoeven echter niet altijd rampzalig te zijn. Blondeel Timmerman: “Als je er maar eerlijk over bent als medewerker of organisatie. Dus meteen maatregelen treffen als je een e-mail naar een verkeerde persoon hebt gestuurd. Het incident melden bij de eigen privacyafdeling, contact opnemen met de beoogde ontvanger en zo de schade beperken.”
Risico’s inventariseren
Blondeel Timmerman wijst verder op het data protection impact assessment (DPIA), een instrument dat organisaties helpt de risico’s rond privacy en informatiebeveiliging in kaart te brengen. “Als je bijvoorbeeld een nieuw project start of een proces verandert waarbij je (veel) persoonsgegevens gebruikt, kun je met dit vooronderzoek op voorhand privacyrisico’s herkennen en mitigeren in plaats van achteraf.”
Noodzaak hoog
Bijna elke organisatie verwerkt tegenwoordig enorm grote hoeveelheden persoonsgegevens in hun processen. Blondeel Timmerman: “Een gemeente heeft gegevens over burgers nodig, ziekenhuizen gegevens van hun patiënten. Ze kunnen niet zonder. De noodzaak om bescherming van privacy en informatiebeveiliging goed in te richten, is dan ook hoog.”
Vince Blondeel Timmerman heeft ruime ervaring met het implementeren van privacybescherming en informatiebeveiliging, onder andere bij gemeenten, ministeries, onderwijsinstellingen, UWV, Belastingdienst en zorginstellingen. Sinds september 2025 maakt hij deel uit van het team Digitale Transformatie van Berenschot, dat zich naast beveiliging en privacy bezighoudt met datastrategie, datakwaliteit, digitalisering van dienstverlening, informatiemanagement, AI en datagedreven werken, digitale governancemodellen en verbetering van werkprocessen met digitale innovatie.