Dat privacy niet zonder security wordt door iedereen onderschreven. Maar dat privacy-eisen soms die zo nodige beveiliging in de weg staan of zelfs onmogelijk maken, wordt veel minder breed erkend.
Om bijvoorbeeld te voorkomen dat privacygevoelige gegevens in verkeerde handen komen of op verkeerde plaatsen achterblijven, is het wenselijk een vorm van "data loss prevention" toe te passen. Zo'n beveiligingstechnologie kan ervoor zorgen dat privacy gevoelige informatie herkent en extra beveiligt word, zodat die informatie niet zonder meer verstuurd, gekopieerd of zelfs geprint kan worden. Precies wat vanuit privacy-oogpunt wenselijk is.
Maar om vast te kunnen stellen of een geplande actie, zoals kopiëren, mailen of printen mogelijk privacy gevoelige informatie betreft, zullen al die acties van gebruikers beoordeeld moeten worden. En dat kan alleen door de inhoud van alle (geplande) acties van gebruikers te monitoren. Wat dus weer betekent dat iedere keer als een gebruiker iets wil mailen, printen of kopiëren gecontroleerd zal worden of dat wel mag. Maar dat is nou juist wat de aanhangers van een strikt privacy regime als bedreiging zien. Al snel wordt dan gesproken van 'big brother' die iedereen in de gaten houdt. Terwijl het er in dit geval toch echt om gaat de privacy van de belanghebbenden te waarborgen. Daarbij gaat het niet in de eerste plaats de privacy van de bewerkers van de informatie, maar wel de privacy van de eigenaars of de verstrekkers van de informatie.
Er zijn situaties bekend waarbij bovenstaande beredenering er toe geleid heeft dat er geen "data loss prevention"-technologie geïmplementeerd werd. Zodat de privacy van de medewerkers van de organisatie maximaal gewaarborgd werd. Maar daardoor was er wel een grote kans dat de privacy van de klanten van wie de informatie verwerkt wordt op enig moment geschonden zou worden, omdat informatie op straat komt.
Nog prangender kan het worden als het gaat om Security Monitoring - in toenemende mate cruciaal voor het detecteren en uiteindelijk voorkomen van cyber security incidenten. Per definitie wil je bij security monitoring events en akties vastleggen en analyseren die op zichzelf staand legitiem en nauwelijks onderzoekswaardig zijn, maar die gecombineerd met andere events wel eens zouden kunnen duiden op een patroon of een complexe aanval. Zo'n aanval kan gericht zijn op privacy gevoelige gegevens, en om die gegevens te kunnen beschermen moet het dus mogelijk zijn de activiteiten van medewerkers (en wellicht ook klanten) te monitoren en te analyseren. Als dat uit (vermeend) privacy belang niet toegestaan zou worden, dan komt dat uiteindelijk de privacy niet ten goede.
Bij de vastlegging en toepassing van privacyregels dient dan ook altijd rekening gehouden te worden met het uiteindelijke doel van de potentiële privacyverstorende handelingen. Want het zou zomaar kunnen dat een al te rigide interpretatie van privacyregels de beveiliging niet ten goede komt. En daar wordt dan uiteindelijk ook privacy weer de dupe van!
Het mag daarom duidelijk zijn dat privacy en security onlosmakelijk met elkaar zijn verbonden en dat het privacy-aspect altijd moet worden 'meegenomen' in securityprojecten en vice versa, waarbij het meest zwaarwegende element voor de opdrachtgever zal bepalen of privacy met security is getrouwd of dat security met privacy is getrouwd!