Privacy aanpak behoeft ook people management focus

23 maart 2016 Consultancy.nl

Met ingang van 2016 is de Wet Meldplicht Datalekken (WMD) een onderdeel geworden van de Wet Bescherming Persoonsgegevens (WBP). De Autoriteit Persoonsgegevens, voorheen het College Bescherming Persoonsgegevens, ziet daarmee haar bevoegdheden toenemen, omdat zij aanzienlijk zwaardere boetes kan opleggen dan voorheen. Maar ook kan zij eisen dat bij een datalek activiteiten stilgelegd worden. Iets dat veel meer impact heeft op een organisatie dan de eventuele boete. Om nog maar te zwijgen over de reputatieschade en aantasting van het vertrouwen.

Met het in het leven roepen van een Autoriteit Persoonsgegevens wordt voorgesorteerd op de nieuwe Europese Privacy Verordening (EPV). Deze zal naar verwachting in 2017 of 2018 voor alle lidstaten integraal van kracht worden. Dit in tegenstelling tot de EU-richtlijnen uit het verleden, die door de lidstaten in hun eigen nationale wetgeving dienden te worden verwerkt. Met de EPV komt dan ook onmiddellijk een einde aan de verschillen in wet- en regelgeving op het gebied van privacy binnen de EU.

Eigenlijk is dit logisch, omdat uitwisseling van persoonsgegevens steeds vaker grensoverschrijdend is, binnen Europa en ook daarbuiten. Dit vaak zonder dat we ons dat realiseren, maar wel met alle gevolgen en risico’s van dien. Spam en ongevraagde aanbiedingen zijn wellicht het meest zichtbaar, maar identiteitsfraude (inclusief skimming en phishing) is een zeer ingrijpende en steeds vaker voorkomende inbreuk op privacy. Alleen al in Nederland is het aantal gemelde gevallen van identiteitsfraude al meer dan 600.000 per jaar.

De EPV zal gebaseerd zijn op het meest strenge regime binnen Europa. Juist daar zit de uitdaging bij de implementatie in de meeste lidstaten, waaronder Nederland. Er zijn namelijk grote verschillen in privacy beleving bij de inwoners in de lidstaten. Met het gelijktrekken van de wet- en regelgeving, zal vooral ook moeten worden gewerkt aan de bewustwording bij de inwoners en dus ook uw medewerkers.

Onder de huidige Nederlandse privacy wetgeving, met de verzwaarde sancties uit de WMD en de te verwachten EPV, moeten organisaties de volgende zaken op orde brengen:

  • helder geformuleerde privacy reglementen, waarin onder andere wordt aangegeven en onderbouwd met welk doel persoonsgegevens worden opgeslagen (doelbinding);
  • aanmelding van de registraties van persoonsgegeven en reglementen bij de Autoriteit Persoonsgegevens;
  • inzicht in waar en hoe persoonsgegevens zijn opgeslagen (databases en applicaties);
  • inbedding van privacy in de governance van de organisatie, onder andere door het afsluiten van bewerkersovereenkomsten met ketenpartners en het invullen van de functie van Privacy Officer;
  • beveiligingsmaatregelen, zowel technisch als organisatorisch en procedureel, waaronder het identificeren en opvolgen van potentiële datalekken als gevolg van verlies of diefstal van smart phones, tablets of laptops.

De noodzakelijke beveiliging beperkt zich dus niet alleen tot de ICT-maatregelen, maar betreft ook de inrichting van operationele processen en het invullen van de Privacy Officer functie (in het Nederlands ook wel Functionaris Gegevensbescherming of FG genoemd).

Naast het op orde brengen van governance, processen, organisatie en systemen, pleiten wij voor een uitgebreid en continu bewustwordingsprogramma binnen organisaties. Veelal blijkt immers niet de techniek, maar de mens toch de zwakste schakel. De formele aspecten zijn de randvoorwaarden waar altijd aan voldaan moet worden; de bewustwording bij medewerkers zal de werkelijke uitdaging zijn. Zeker in ons land waar we op het vlak van privacy vaak wat laconiek zijn, onder het motto “ik heb toch niets te verbergen”.

Het gevaar daarvan is dat men zich soms niet voldoende bewust is van het risico van commerciële uitbuiting, fraude met, of op basis van persoonsgegevens en mogelijk zelfs identiteitsdiefstal. In de steeds verder geautomatiseerde wereld neemt dit inmiddels grote vormen aan en het is niet iets wat alleen nog maar in films voorkomt. Films spreken wellicht tot de verbeelding, maar kunnen een opmaat zijn naar de toekomst, waarvoor we ook gewaarschuwd moeten zijn. Er is echter ook goed nieuws: we kunnen nu nog bijsturen. Om te beginnen met striktere privacy wet- en regelgeving en het efficiënt herinrichten van onze organisaties daarop. En tegelijkertijd ‘met harde hand de zachte kant’ op te pakken.

Een artikel van Louis de Koning, Anil Changoe en Dorus-Jan ten Boom, allen verbonden aan ConQuaestor.

Nieuws

×
A.T. Kearney Accenture ACE Adaptif Adlasz Adviesgroep Novius Anderson MacGyver Andersson Elffers Felix Annalise Arthur D. Little AT Osborne Atos Consulting Avantage Reply B&A Bain & Company Baker Tilly BCG Platinion BDO BearingPoint Berenschot Best Value Group Bisnez BlinkLane Consulting BluPoint BMC Boer & Croon Corporate Finance Boer & Croon Management Bostec Boston Consulting Group Bright & Company | People Strategy buro C5 Bvolve Capgemini Invent Centric Cmotions COMATCH Conclusion Considerati Count & Cooper De Kleine Consultant Deloitte Delta Capita Dimensys Ecorys Eden McCallum Energyprofs Enigma Consulting EY EY-Parthenon Finavista Finext First Consulting flowresulting Front Consulting Galan Groep GalanNXT Grant Thornton Groenewout Gupta Strategists Gwynt Hamstra & Partners Hermes | Partners Hospitality Group Hot ITem House of Performance IG&H Consulting & Interim Improven InContext innergo innogy Consulting INNOPAY Intermedius ITDS Business Consultants JBR JBR Interim Executives Kirkman Company KplusV KPMG Kruger KWINK groep Leeuwendaal M3 Consultancy Magnitude Consulting Magnus Marktlink McKinsey & Company Mercer Methis Consulting METRI Mitopics MLC Mobilee Möbius Monitor Deloitte Morgens MSR Consulting Group OrangeX Ordina Oxyma p2 PA Consulting Group Paul Postma Marketing Consultancy PBLQ PNO Consultants Projective Protiviti Proven Partners PwC Qhuba Quint Wellington Redwood Quintop Raad van Toekomst RevelX RGP Rijnconsult Roland Berger Scenter Schaekel & Partners Schuberg Philis SeederDeBoer Sia Partners Significant Simon-Kucher & Partners SiRM Solid Professionals SOLVE Consulting SparkOptimus Strategy Development Partners Strategy& Student Consultancy Group Summiteers Supply Value Symbol Synechron Business Consulting TEN HAVE Change Management The Next Organization Turner TWST Twynstra Gudde UMS Group UniPartners UPD Vanberkel Professionals Varrlyn Vasco Consult Vintura VODW Voogt Pijl & Partners Wielinq Willis Towers Watson WIN Yellowtail YGroup Young Advisory Group Zestgroup