Forrester
Forrester, dat zich zelf “one of the most influential research and advisory firms in the world” durft te noemen heeft op 11 oktober een artikel over Brexit verspreid.
Volgens de Britse auteur moeten Britse CISO’s vanwege Brexit extra op de volgende drie punten letten: dataflows tussen het VK en de EU, personeel, regelgeving. Toegegeven, het eerste en derde zijn direct te linken met de werkzaamheden van een CISO. Personeel heeft enige uitleg nodig, maar het punt dan Forrester analist Paul MacKay maakt klopt wel.
BCR
Niet alles wat MacKay noemt is echter geheel correct. Hij noemt binding corporate rules (BCR) als een bestaande oplossing tussen de EU en derde landen om data van EU ingezetenen te kunnen blijven verwerken. BCR’s zijn inderdaad een werkbare oplossing, maar het is niet een standaard document. Het opstellen ervan kost maanden. Daarnaast ontgaat het hem dat de meeste deskundigen het er over eens zijn dat in het VK de wettelijke bescherming van persoonsgegevens, helemaal na Brexit, ontoereikend is. Een CISO kan zich dan wel inzetten voor BCR’s, maar er is nul garantie dat dit ergens toe leidt.
Personeel
Het punt van personeel is zonder meer goed. MacKay stelt dat personeel van buiten het VK extra aandacht nodig zal hebben omdat de vestigingsregels op de helling gaan. Ook het beleggen van bijeenkomsten met personen uit het buitenland is een punt waarop hij wijst. Het verkrijgen van visa zal voor die laatste groep een probleem kunnen zijn. De overige documenten (ATA Carnet) zijn hem niet bekend, maar onderstrepen wel de noodzaak om personeel na Brexit serieus te nemen. Of dat bij de CISO hoort is iets waarover discussie mogelijk is.
Tegelijk is personeel in relatie tot Brexit ook bij uitstek een punt dat binnen bedrijven in de EU – onder andere bij de CISO – moet staan. Brits personeel heeft gegarandeerd zorgen over de omstandigheden waaronder ze in de EU kunnen blijven wonen en werken. Meer zorgen leidt tot minder concentratie en dat weer tot grotere kans op fouten.
Hoe het werven van personeel in een post Brexit VK gaat is niemand, dus ook MacKay, bekend. De kans dat voldoende kandidaten uit het buitenland het Kanaal nog oversteekt lijkt klein. Wat dat betreft kan de EU bedrijfsleven het juist makkelijker krijgen.
Meldplichten
En dan zijn er nog de meldplichten. PSD2 en de AVG zijn twee van de voorbeelden die in het artikel genoemd worden. Voor Britse bedrijven zal net nodig zijn te onderzoeken wat zij waar moeten rapporteren na Brexit. Dat zelfde geldt voor de CISO van een EU onderneming met activiteiten in het VK. Waar moet hij/zij na Brexit aankloppen om een datalek te melden dat in het VK heeft plaatsgevonden.
De CISO en Brexit – het is een combinatie die nog weinig zo specifiek is benoemd. Ook al is het artikel kort en deels onjuist, het is een goede start om met een andere bril op naar het onderwerp te kijken.
