In een tijdperk dat wordt gedomineerd door datagestuurde besluitvorming en snel evoluerende dreigingen, zijn cybersecurity en privacy beide fundamentele zorgen geworden voor de meeste organisaties. Hoewel deze concepten afzonderlijke disciplines zijn met elk hun unieke uitdagingen en doelstellingen, zijn ze ook onderling verbonden.
Cybersecurity versus privacy
Laten we eerst naar privacy kijken. Cybersecurity is de basis voor privacy. Zonder sterke beveiliging zijn privacybeschermingen zinloos en onhaalbaar. Dat heeft een aantal redenen. Ten eerste verplicht privacyregelgeving de bescherming van persoonlijke gegevens. Zonder cybersecuritymechanismen zoals encryptie, toegangscontroles en veilige opslag, faalt dit beleid. Ten tweede kunnen (en zullen) gevoelige persoonlijke gegevens worden blootgesteld aan kwaadwillenden als een organisatie geen security-best practices implementeert. Cybersecurity fungeert dus als een technische enabler van privacy en zorgt ervoor dat gegevens veilig blijven tegen ongeautoriseerde toegang en misbruik.
Geldt het omgekeerde echter ook? Kan privacy leiden tot betere beveiliging? Dat antwoord is wat genuanceerder, omdat dingen wel veilig kunnen zijn, maar niet privé. Schilderijen in musea zijn veilig, maar zichtbaar voor het publiek. Een afgesloten raam is misschien veilig, maar zonder gordijnen of jaloezieën biedt het geen privacy. Regelgeving en verwachtingen van consumenten hebben organisaties ertoe gedwongen om hun beveiligingsmaatregelen te verbeteren. Een voorbeeld hiervan is de AVG. Dit heeft geleid tot een grotere acceptatie van encryptie, dataminimalisatie en veilige dataopslagpraktijken die allemaal de algehele cyberbeveiliging verbeteren, dankzij privacy.
Kan het een zonder het ander bestaan?
In theorie zou je cybersecurity kunnen hebben zonder privacy of privacy zonder cybersecurity, maar dan zou geen van beide effectief zijn:
- Cybersecurity zonder privacy – Een bedrijf kan een sterke beveiliging hebben, bestaande uit firewalls, encryptie en dreigingsdetectie, terwijl het persoonlijke gegevens toch verkeerd verwerkt. Als gegevens zonder toestemming worden verkocht of gebruikt voor bijvoorbeeld tracking, wordt de privacy in gevaar gebracht, ondanks een robuuste en veilige infrastructuur.
- Privacy zonder cybersecurity – Privacybeleid en compliance-inspanningen zijn zinloos zonder beveiligingsmaatregelen die dit controleren en afdwingen. Een organisatie kan het beste privacybeleid ter wereld hebben, maar als ze geen goede beveiligingscontroles hebben, lopen gevoelige gegevens nog steeds risico.
In werkelijkheid kunnen noch cybersecurity noch privacy volledig functioneren zonder de ander. Privacy is het doel en cybersecurity is het mechanisme dat dit garandeert.
Cybersecurity en privacy in evenwicht brengen
Om cybersecurity en privacy effectief op elkaar af te stemmen, moeten organisaties een geïntegreerde strategie hanteren:
- Implementeer privacy-enhancing technologies (PETs) – Gebruik encryptie om gevoelige gegevens te beschermen en tegelijkertijd de privacy te behouden. Implementeer daarnaast anonimisering en pseudonimisering om verdere privacyrisico’s te vermijden.
- Zorg ervoor dat beveiligingsteams privacyregelgeving begrijpen – Beveiligingsprofessionals moeten goed thuis zijn in de AVG en andere privacywetten. Regelmatige training kan helpen de kloof tussen compliance en beveiliging te overbruggen en tegelijkertijd wederzijds respect en samenwerking tussen de disciplines te bevorderen.
- Ga voor ‘privacy-by-design’ in beveiligingsstrategieën – Zorg ervoor dat teams rekening houden met elkaar. Praktijken zoals het toepassen van toegangscontroles die gebruikersvoorkeuren respecteren en het minimaliseren van dataverzameling waar mogelijk, zijn in het voordeel van beide teams.
- Breng beveiligingsmonitoring in evenwicht met privacy – Pas indien mogelijk gegevensanonimisering toe bij het uitvoeren van analyses. Implementeer transparante beleidsregels en bewustwordingscampagnes over het bewaken van medewerkers- en klantgegevens om proactief de privacy van gebruikers te waarborgen.
- Geef privacy- en beveiligingsteams gedeelde verantwoordelijkheden – Samenwerking tussen beveiligings-, juridische, compliance- en technologieteams is essentieel. Privacy en beveiliging moeten niet in silo’s opereren, maar samenwerken aan gedeelde doelen.
Conclusie
Ondanks dat cybersecurity en privacy van elkaar verschillen, zijn ze toch nauw met elkaar verbonden. Privacy is afhankelijk van cybersecurity, terwijl cybersecurity vooral profiteert van privacygestuurde regelgeving die betere beveiligingspraktijken stimuleert.
Uiteindelijk vereist het bereiken van een balans tussen cybersecurity en privacy doordachte beleid, strategische investeringen en cross-functionele samenwerking. Door privacyprincipes te integreren in beveiligingsstrategieën en ervoor te zorgen dat beveiligingsmaatregelen privacydoelen ondersteunen, kunnen organisaties een digitaal ecosysteem bouwen dat zowel hun middelen als de rechten van hun gebruikers beschermt.
Ben Corll, CISO in Residence bij Zscaler
