Vandaag is het de dag van de privacy, een internationale ‘feestdag’. In Nederland kunnen we die nu vieren met de verplichting voor het melden van datalekken. Alhoewel, je zal maar tot de patiënten van Nederlandse ziekenhuizen behoren, wiens gegevens via internet zijn gelekt én gestuurd aan Belgische gedetineerden. Dat klink niet als iets om te vieren. Maar ik geloof dat de Meldplicht datalekken ons helpt om privacy en data beter te beschermen.
Stel je voor dat je gevoelige medische dossier openlijk online toegankelijk is, omdat die informatie wordt uitgewisseld via een onbeveiligde internetverbinding. Stel je ook eens voor dat je medische dossier door wildvreemden en zelfs gedetineerden wordt doorgebladerd, om de nietjes eruit te halen. Doemscenario van overdrijvende epd-tegenstanders? Helaas niet, maar de werkelijkheid anno januari 2016.
Medische dossiers behandeld in de bak
Schrik op schrik. Eerst hebben zo’n 4500 patiënten van het St. Anna Ziekenhuis in Geldrop te horen gekregen dat hun gegevens meer dan een maand lang toegankelijk zijn geweest voor onbevoegden. Vervolgens ontdekken ruim 158.000 Nederlanders en Belgen, (voormalige) patiënten bij andere ziekenhuizen, dat hun medische informatie op straat heeft gelegen. Die data is zelfs deels in de bak belandt. In beide gevallen zijn de ziekenhuizen niet de lekkende partij, maar een toeleverancier. In dit geval een dienstverlener die helpt met de digitaliseringsslag door dossiers te scannen, waarvoor dus gedetineerde arbeidskrachten zijn ingezet. Deze ontdekkingen komen naar buiten vlak vóór de viering van de internationale Dag van de Privacy (in Europa ook bekend onder de naam Data Protection Day).
De wereld staat bol van de officiële en officieuze ‘themadagen’. Noem een opvallend onderwerp, heet hangijzer, vreemd fenomeen of belangrijk beginsel en er bestaat wel een speciale dag voor. Veel van die feestdagen zijn ‘voor de bühne’; een bijzondere gelegenheid voor een bijzondere groep mensen die iets hebben met een bepaald onderwerp of ding. Anders is dat voor de internationale dag van de privacy, want die gaat ons echt allemaal aan. Of je dat nu wilt of niet.
Van gebaar naar actie
Helaas had de internationale dag van de privacy, wereldwijd bekend als Data Privacy Day, tot op heden wel één belangrijk kenmerk gemeen met die vele andere themadagen. Te weten: de symbolische aard ervan. Nu moeten we die waarde om op die manier er even bij stil te staan niet onderschatten. Maar privacy verdient meer aandacht, zoveel meer, dan slechts één dag per jaar.
Ik schrijf bewust dat de Data Privacy Day een belangrijk kenmerk gemeen hád. Want er is nu iets veranderd. Sinds dit jaar, alweer de negende viering van de internationale privacydag, moeten Nederlanders daden bij woorden voegen. De meldplicht datalekken is namelijk begin dit jaar van kracht geworden.
Naast de stok ook de wortel
Deze meldplicht legt Nederland het goede voornemen op om beter beveiligd te zijn. Hiervoor reikt de Autoriteit Persoonsgegevens (voorheen College Bescherming Persoonsgegevens beleidsregels aan en kan deze toezichthouder bij schending forse boetes opleggen. Deze kunnen oplopen tot meer dan acht ton, of 10 procent van de jaaromzet, waar eventuele schadeclaims van getroffen mensen nog bij kunnen komen.
De bewijslast is voor de ondernemer, waaronder ook hotels. De meldplicht is niet alleen een dreigende strafmaatregel, zeg maar een stok waarmee geslagen kan worden. Het is naast een dwangmiddel ook een stimulans met positief vooruitzicht, zeg maar een wortel die ons lokkend wordt voorgehouden.
Meer doen dan alleen vieren
Denk maar even met me mee. Het melden van incidenten waarbij er sprake is van gelekte gegevens geeft inzicht in die incidenten en de diverse soorten informatie waar het om te doen is. Dit helpt niet alleen de slachtoffers van reeds voorgevallen incidenten, maar kan ook een voorkomende werking hebben. Veelgemaakte fouten moeten eerder opgenomen worden in adviezen, richtlijnen, best practices, en andere handige openbare informatie.
Natuurlijk is er al heel veel informatie voor betere beveiliging en betere bescherming van privégevoelige data. Informatie op technisch niveau, business- en werknemersniveau en op juridisch niveau en ga zo maar door. Alleen blijkt het simpelweg bieden van die informatie toch niet afdoende. Net zoals het jaarlijks vieren van privacydag niet afdoende is om privacy echt goed te waarborgen.
Verbeterd businessmodel
De dreiging van de stok (boetes vanwege schending van de meldplicht datalekken) lijkt nodig. Daarbij wordt tegelijkertijd de wortel wat smakelijker en zal de inspanning voor betere bescherming zich uitbetalen. Er is dus sprake van een verbeterd businessmodel. Ik ben benieuwd hoe we privacydag volgend jaar vieren. Hopelijk met minder incidenten achter de rug!