Dat lang niet alle organisaties voldoen aan de wettelijke privacy-verplichtingen is geen nieuws. Met de invoering van de meldplicht datalekken (op 1 januari 2016) wordt wel duidelijk hoeveel organisaties niet aan hun verplichtingen voldoen. Vorige week onthulde Computable dat er in drieënhalve maand ongeveer zevenhonderd meldingen van datalekken zijn binnengekomen bij de Autoriteit Persoonsgegevens (AP). Dit bevestigt het beeld dat veel bedrijven niet voldoen aan hun privacy-verplichtingen.
In het verleden bleek, na onderzoek van de AP (toen nog het CBP), dat bedrijven hun privacy-verplichtingen niet op orde hadden. Echter, door het tekort aan medewerkers bij de AP, bleef dit beperkt tot een relatief klein aantal gevallen: veertien in 2014 en twaalf in 2015. Nu bedrijven zelf hun overtredingen moeten gaan melden, blijkt na ruim drie maanden al een veelvoud hiervan te zijn bereikt. De verplichting om datalekken te melden is nieuw, maar de verplichting om de ‘passende technische en organisatorische beveiligingsmaatregelen’ te nemen geldt al sinds 1 september 2001. Het ligt dan ook voor de hand dat veel organisaties voor 1 januari 2016 hun zaken op privacy-gebied al niet op orde hadden, alleen hoefden zij dat toen niet bekend te maken.
Dit beeld wordt bevestigd door H&R Automatisering en De Clercq Advocaten Notarissen, op basis van eigen onderzoek. Om dit op te lossen benaderen zij daarom als eerste gezamenlijk het privacyvraagstuk vanuit drie verschillende invalshoeken: technisch, juridisch en organisatorisch. Samen hebben zij een security scan en legal audit ontwikkeld, die bedrijven snel en volledig inzicht verschaft in de risico’s die men loopt. Daarenboven worden er direct concrete technische en juridische oplossingen aangedragen, inclusief handvatten om deze organisatorisch te verankeren.
Paddestoelen
Sinds de wetwijziging van 1 januari 2016 schieten de privacybescherming initiatieven als paddenstoelen uit de grond. Vaak vanuit technisch-, soms vanuit juridisch perspectief maar bijna nooit een combinatie van beide. Laat staan aangevuld vanuit organisatorisch oogpunt. ‘Het is in alle gevallen te kort door de bocht’, zegt initiatiefnemer Roy Zwiep, adjunct directeur bij H&R. ‘Er worden niet alleen strenge eisen gesteld aan de technische bescherming van persoonsgegevens. Ook dienen bijvoorbeeld de contracten met databewerkers jou als verantwoordelijke voor de persoonsgegevens voldoende te vrijwaren van juridische claims. Bovendien moet de organisatie zo ingericht zijn dat een datalek – indien nodig – adequaat gemeld wordt bij de nieuwe Autoriteit Persoonsgegevens om boetes te voorkomen.’
‘Encryptie, remote wiping en pseudonimisering zijn niet alleen bij wet verplicht, maar ook broodnodig. Helaas is dat vaak nog onvoldoende op orde’, vervolgt Zwiep. Men realiseert zich niet altijd, wat de juridische implicaties van de meldplicht datalekken zijn. De gevolgen van de bestuurlijke verantwoordelijkheid voor individuele bestuurders worden dikwijls onderschat. Een boete kan immers oplopen tot meer dan achthonderdduizend euro’, vult Willem Balfoort, advocaat tech, data & innovation bij De Clercq en Computable-expert, aan.
‘Wat we vaak zien’, eindigt Zwiep, ‘is dat de verantwoordelijke it-manager op basis van de technische kennis die hij heeft er van overtuigd is dat alles in kannen en kruiken is. Maar hij is geen jurist. Het bestuur gaat op haar beurt uit van de goede bedoelingen en expertise van de it-manager, maar heeft te maken met een manager die zijn eigen werk beoordeelt. Bovendien moeten zaken organisatorisch over en tussen meerdere afdelingen geregeld zijn. Daarom is het belangrijk om een onafhankelijke derde de situatie te laten beoordelen en indien nodig actie te ondernemen’
Marijn Storm, advocaat Tech, Data & Innovation bij De Clercq Advocaten – Notarissen
Het is ook best lastig als leek om te ontdekken of er data gelekt is. Medewerkers kunnen immers zomaar een export maken van gegevens, deze op een usb zetten en onderweg verliezen. Wie weet het? en de werkgever is dan aansprakelijk….
En zo zijn er vele varianten de bedenken.
Zo ontvangen wij met grote regelmaat excel bestanden van klanten met hun klantendatabase er in. Geen idee wie er meeleest als ze dat zomaar per mail opsturen. Dit zal langzamerhand wel dalen naarmate de bewustwording toeneemt.
Maar zo zullen er veel meer lekken zijn dan we weten. Daarnaast is het maar de vraag of ook de echt ernstige situaties gemeld worden.
Ik mis overigens (met een knipoog) de positieve kant in dit artikel. Dat er ‘maar’ 700 incidenten zijn geweest in die periode…..
Privacy waarborgen is iets wat iedere organisatie zou moeten doen. Spreek gedragsregels af, zorg voor beveiliging en versleuteling, licht mensen in hoe zij met data om moeten gaan en zorg voor bewerkingsovereenkomsten, opt-in en acceptatie van privacy beleid en algemene voorwaarden.
Als je dit doet zit je al voor een heel groot gedeelte goed en doe je het netter dan veel bedrijven.
Wel moet hierbij de opmerking gemaakt worden dat de Autoriteit Persoonsgegevens (AP) nog niet 1 boete heeft uitgedeeld en dat het er voorlopig ook nog niet aan zit te komen dat er uberhaupt een eerste boete wordt uitgedeeld . De handhaving is daarmee non existent, dus laat je ook niet gek maken als je niet het braafste jongetje van de klas bent….
Zeer goed artikel Om mijn beide voorgangers hier bij te vallen.
Met regelmaat maak ik de opmerking dat de visie en scope van menig professional in en met IT ICT werkend, dermate beperkt is, dat deze zich vrij summier, als dat al zo is, bekommerd om het onderhoud van basis IT ICT kennis en ontwikkeling waartoe ik professioneel en persoonlijk, vind dat dit aspect gewoon behoort bij het ‘basis pakket’.
Je bent het namelijk als IT professional aan jezelf, maar ook aan je opdrachtgever of werkgever verplicht, oog en hand te hebben voor aspecten zoals data integriteit dus ook de beveiliging van alle data. Dit moet gemeengoed zijn en niet een aspect dat telkens weer onder de aandacht van de individuele IT professional worden gebracht.
Dat dit in de praktijk zo vaak anders is is een gegeven waarbij elke individuele IT professional, dit lezend, zich nu eens danig achter de oren zou moeten krabbelen. Het kostenaspect als excuus is nonsens. De kennis, techniek en mogelijkheden te simuleren op eigen tijd en merite, zijn er vol op.
Beschikbare tijd kan in mijn optiek wel degelijk een rol spelen. De IT-professional moet immers niet geconfronteerd worden met het doorhalen van dit soort activiteiten in (uren)budgetten. En dat maak ik met grote regelmaat mee.
Hierbij geldt dan ook dat je als IT-professional je poot stijf moet houden op dit soort principiële budgetposten.