Privacy – de holistische benadering

Geplaatst op door

In de praktijk rond privacy komt men doorgaans 2 tendensen tegen.

Enerzijds zijn er de informatici, meestal met een achtergrond in security, zoals CISO gecertificeerde IT-mensen, en anderzijds zijn er de pure regelgeving georiënteerde beoefenaars, doorgaans juristen of advocaten die een certifiering als DPO hebben bekomen.

In de praktijk komt men echter weinig mensen tegen die privacy benaderen vanuit een holistisch perspectief.

M.a.w. mensen die niet enkel rekening houden met security noch met regelgeving, maar ook met organisatie, beleid, processen en cultuur.

Waarom een holistische benadering?

Vooreerst schrijft de GDPR voor dat verwerkingsverantwoordelijken passende technische en organisatorische maatregelen moeten nemen om te waarborgen en bovendien aan te kunnen tonen dat zij handelen in overeenstemming met de GDPR.

Bovendien zegt de GDPR ook dat verwerkingsverantwoordelijken een passend gegevensbeschermingsbeleid moeten voeren.

Het nemen van passende technische en organisatorische maatregelen kan niet worden bereikt door enkel te kijken naar de technische aspecten, noch door enkel rekening te houden met de rechtsregels alleen.

Wetgeving

Als men zich louter bezig houdt met de wetgeving, hoewel belangrijk, dan verliest men een heleboel elementen uit het hoofd.

Hoewel de wetgeving weliswaar verwijst naar elementen zoals techniek en organisatie, geeft zij geen details wat daar precies moet worden onder verstaan, laat staan hoe je dit praktisch gaat invullen.

Daarom is het zich louter focussen op de wetgeving onvoldoende om een greep te krijgen op de privacy problematiek in een organisatie.

Informatica

Zoals hierboven reeds aangegeven blijkt dat een groot aantal DPO’s een achtergrond hebben in informatica, en meer bepaald het deel van de informatica dat te maken heeft met security.

Hoewel security een heel belangrijk aspect is voor de beveiliging van persoonsgegevens en gegevens in het algemeen, is dit niet de enige tak van de informatica die belangrijk is.

Even belangrijk, en dit voor wat betreft informatica alleen, zijn ook domeinen zoals database design, software en applicatie architectuur en design, etc.

Dus zelfs indien men alleen kijkt naar informatica moet men rekening houden met meerdere gespecialiseerde takken van de informatica, en niet enkel alleen met de tak security.

Maar zelfs indien men rekening zou houden met alle takken van de informatica, zullen de componenten wetgeving en organisatie ontbreken.

Organisatie, beleid, proces en cultuur

Rekening houden met de wetgeving en voorgenomen beslissingen nemen inzake uit te voeren informaticamaatregelen om persoonsgegevens te beschermen vereisen een aangepaste organisatie met een beleid, bedrijfsprocessen en een cultuur die de voorgenomen intenties ondersteunen.

Aangezien iedere organisatie verschillend is, zowel voor wat betreft haar processen, haar beleid en haar cultuur, heeft men hier te maken met maatwerk.

Bloep, 21 augustus 2025.