'Als je security en privacybescherming interessant vindt, is data & analyse dé plek voor jou.'
Arnold, functionaris dataprotectie
24 mrt 2021
‘Ruim drie jaar geleden ben ik bij data & analyse gestart. Hiervoor werkte ik met informatiebeveiliging bij onderzoeksorganisatie TNO. De taken die ik daar had kun je vergelijken met wat ik nu doe, maar er zijn ook verschillen. Veel concepten die bij TNO werden ontwikkeld, zijn bijvoorbeeld nooit in productie genomen. Bij D&A komt dat niet voor. Daarnaast heb ik bij de Belastingdienst ook veel te maken met privacy. Juist dat gebied vind ik interessant en ik heb er de afgelopen tijd al veel over geleerd.
D&A en de privacywet
Ons vakgebied krijgt momenteel veel aandacht in de media. Dit komt voornamelijk door de Algemene verordening gegevensbescherming (AVG), in het dagelijks leven ook wel de ‘privacywet’ genoemd. Het is voor alle mogelijke partijen, zeker voor overheden, een uitdaging om op een verantwoorde manier om te gaan met data. Zowel vanuit het perspectief van informatiebeveiliging als vanuit privacy. D&A gaat hierin een mooie sleutelrol spelen; we willen een voorbeeld zijn en laten zien hoe je veilig en zorgvuldig met data kunt omgaan.
“Als je security en privacybescherming interessant vindt, is D&A dé plek voor jou.”
Privacy Impact Assessments
Feitelijk ben ik een risicomanager en adviseer ik over risico’s die volgen uit mijn PIA’s (Privacy Impact Assessments). Zelf vind ik het omgaan met proxy’s interessant die bij onze scientists aan het licht komen. Proxy’s zijn kenmerken die op het eerste gezicht onschuldig lijken, maar bij nadere inspectie toch een ongewenst effect hebben. Je mag mensen bijvoorbeeld niet op seksuele voorkeur, geloof of afkomst selecteren, maar soms kan dat onbedoeld gebeuren als er bijvoorbeeld een selectie wordt gemaakt op volwassen mensen met een jong BSN-nummer (lees: mensen die nog niet zo lang in Nederland zijn). Bij die groep mensen loopt de inkomstenbelasting vaak niet vlekkeloos, mede doordat ze er onbekend mee zijn. Ik adviseer dan dat er beter op BSN-nummers gezocht kan worden van mensen die nog maar weinig of nooit aangifte hebben gedaan. Dan ontdek je vergelijkbare groep, maar via een meer ethische weg. Ik organiseer hier intern bewustwordingscampagnes voor, bestaande uit onder meer online en plenaire cursussen.
Technisch advies
Naast wetgeving en ethiek adviseer ik ook over techniek. Onlangs zijn we bijvoorbeeld begonnen met het compartimenteren van gegevens, zodat de mensen die ermee moeten werken alleen de data ‘zien’ die ze moeten zien. We investeren veel tijd in onderzoeken hoe we persoonsgegevens beter kunnen beschermen door data te pseudonimiseren. Onder meer voor het koppelen van externe bronnen; dat gaat in de toekomst wellicht meer gebeuren. Hier hebben we al een test mee gedaan tijdens een 3-dagen-challenge.
Ook willen we onze infrastructuur virtueel maken zodat het onmogelijk wordt om data lokaal te halen. Extern worden we beschermd door het Security Operation Center (SOC) tegen bijvoorbeeld hacks en DDoS-aanvallen.
Tijd en ruimte voor ontwikkeling
Bij D&A krijg ik veel tijd en ruimte om mijn kennis te delen en uit te breiden. Ik leer bijvoorbeeld veel van de specialisten om me heen, maar neem ook geregeld deel aan interdepartementale overleggen, besprekingen met de inspectieraad en conferenties van het Centrum voor Informatiebeveiliging en Privacy (CIP). In de toekomst zou ik graag nog willen promoveren op mijn vakgebied. Die mogelijkheid heb ik hier bij de Belastingdienst, dus ik zit voorlopig nog heerlijk op mijn plek.’