Privacy aanpak behoeft ook people management focus

23 maart 2016 Consultancy.nl

Met ingang van 2016 is de Wet Meldplicht Datalekken (WMD) een onderdeel geworden van de Wet Bescherming Persoonsgegevens (WBP). De Autoriteit Persoonsgegevens, voorheen het College Bescherming Persoonsgegevens, ziet daarmee haar bevoegdheden toenemen, omdat zij aanzienlijk zwaardere boetes kan opleggen dan voorheen. Maar ook kan zij eisen dat bij een datalek activiteiten stilgelegd worden. Iets dat veel meer impact heeft op een organisatie dan de eventuele boete. Om nog maar te zwijgen over de reputatieschade en aantasting van het vertrouwen.

Met het in het leven roepen van een Autoriteit Persoonsgegevens wordt voorgesorteerd op de nieuwe Europese Privacy Verordening (EPV). Deze zal naar verwachting in 2017 of 2018 voor alle lidstaten integraal van kracht worden. Dit in tegenstelling tot de EU-richtlijnen uit het verleden, die door de lidstaten in hun eigen nationale wetgeving dienden te worden verwerkt. Met de EPV komt dan ook onmiddellijk een einde aan de verschillen in wet- en regelgeving op het gebied van privacy binnen de EU.

Eigenlijk is dit logisch, omdat uitwisseling van persoonsgegevens steeds vaker grensoverschrijdend is, binnen Europa en ook daarbuiten. Dit vaak zonder dat we ons dat realiseren, maar wel met alle gevolgen en risico’s van dien. Spam en ongevraagde aanbiedingen zijn wellicht het meest zichtbaar, maar identiteitsfraude (inclusief skimming en phishing) is een zeer ingrijpende en steeds vaker voorkomende inbreuk op privacy. Alleen al in Nederland is het aantal gemelde gevallen van identiteitsfraude al meer dan 600.000 per jaar.

De EPV zal gebaseerd zijn op het meest strenge regime binnen Europa. Juist daar zit de uitdaging bij de implementatie in de meeste lidstaten, waaronder Nederland. Er zijn namelijk grote verschillen in privacy beleving bij de inwoners in de lidstaten. Met het gelijktrekken van de wet- en regelgeving, zal vooral ook moeten worden gewerkt aan de bewustwording bij de inwoners en dus ook uw medewerkers.

Onder de huidige Nederlandse privacy wetgeving, met de verzwaarde sancties uit de WMD en de te verwachten EPV, moeten organisaties de volgende zaken op orde brengen:

  • helder geformuleerde privacy reglementen, waarin onder andere wordt aangegeven en onderbouwd met welk doel persoonsgegevens worden opgeslagen (doelbinding);
  • aanmelding van de registraties van persoonsgegeven en reglementen bij de Autoriteit Persoonsgegevens;
  • inzicht in waar en hoe persoonsgegevens zijn opgeslagen (databases en applicaties);
  • inbedding van privacy in de governance van de organisatie, onder andere door het afsluiten van bewerkersovereenkomsten met ketenpartners en het invullen van de functie van Privacy Officer;
  • beveiligingsmaatregelen, zowel technisch als organisatorisch en procedureel, waaronder het identificeren en opvolgen van potentiële datalekken als gevolg van verlies of diefstal van smart phones, tablets of laptops.

De noodzakelijke beveiliging beperkt zich dus niet alleen tot de ICT-maatregelen, maar betreft ook de inrichting van operationele processen en het invullen van de Privacy Officer functie (in het Nederlands ook wel Functionaris Gegevensbescherming of FG genoemd).

Naast het op orde brengen van governance, processen, organisatie en systemen, pleiten wij voor een uitgebreid en continu bewustwordingsprogramma binnen organisaties. Veelal blijkt immers niet de techniek, maar de mens toch de zwakste schakel. De formele aspecten zijn de randvoorwaarden waar altijd aan voldaan moet worden; de bewustwording bij medewerkers zal de werkelijke uitdaging zijn. Zeker in ons land waar we op het vlak van privacy vaak wat laconiek zijn, onder het motto “ik heb toch niets te verbergen”.

Het gevaar daarvan is dat men zich soms niet voldoende bewust is van het risico van commerciële uitbuiting, fraude met, of op basis van persoonsgegevens en mogelijk zelfs identiteitsdiefstal. In de steeds verder geautomatiseerde wereld neemt dit inmiddels grote vormen aan en het is niet iets wat alleen nog maar in films voorkomt. Films spreken wellicht tot de verbeelding, maar kunnen een opmaat zijn naar de toekomst, waarvoor we ook gewaarschuwd moeten zijn. Er is echter ook goed nieuws: we kunnen nu nog bijsturen. Om te beginnen met striktere privacy wet- en regelgeving en het efficiënt herinrichten van onze organisaties daarop. En tegelijkertijd ‘met harde hand de zachte kant’ op te pakken.

Een artikel van Louis de Koning, Anil Changoe en Dorus-Jan ten Boom, allen verbonden aan ConQuaestor.

Nieuws