De meldplicht datalekken leidt tot een wildgroei aan privacy-adviseurs. Vaak hebben die zogenoemde experts onvoldoende kennis om bedrijven en organisaties die persoonsgegevens verwerken goed te begeleiden in nieuwe wet- en regelgeving, zoals de Algemene Verordening Gegevensbescherming ofwel General Data Protection Regulation (AVG ofwel GDPR) die op 25 mei 2018 in Europa wordt ingevoerd. Dat stelt universitair hoofddocent ICT-Recht aan de Universiteit Leiden en partner van juridisch adviesbureau Considerati Bart Schermer.
‘Het gebrek aan expertise op het gebied van privacy werkt als een rode lap op allerhande adviseurs van wisselende kwaliteit, die in afwachting van de nieuwe generatie ict-bedrijfsjuristen massaal op de markt gedoken zijn’, stelt Schermer.
Sinds de invoering van de meldplicht datalekken in Nederland zijn al vierduizend meldingen binnengekomen bij de Autoriteit Persoonsgegevens. Volgens Schermer toont de hausse aan datalekken de gebrekkige staat van het privacy-beleid bij Nederlandse ondernemingen en overheden aan. ‘Van de 25.000 benodigde specialisten die in de toekomst nodig zijn om dat probleem op te lossen zijn er nu slechts duizend werkzaam, met name bij de grote multinationals. Dat leidt momenteel tot een goudkoorts onder privacy-adviseurs en een wildgroei aan privacy-gerelateerde opleidingen, waarvan het kennisniveau twijfelachtig is.’
Schermer haalt cijfers aan van VNO/NCW waaruit naar voren komt dat binnen achttien maanden zeker 25.000 privacy-specialisten nodig zijn om het gebruik van data in lijn te brengen met de Europese vereisten.’ Hij verwacht dat de meeste bedrijven in 2018 wel een privacy-officer aangewezen zullen hebben, maar denkt dat die verantwoordelijken in veel gevallen niet de competenties hebben die de wetgever verwacht. ‘De competenties van de data protection officer zoals omschreven in de Europese regels vereisen naast diepgravende juridische kennis ook expertise van software-ontwikkeling en bijvoorbeeld kennis van privacy by design. Vanuit mijn persoonlijke observatie bij klanten van mijn bedrijf zie ik dat er vaak adviezen liggen die echt verkeerd zijn’, aldus Schermer.
1,5 miljard euro
Bedrijven en overheden hebben tot 25 mei 2018 om hun bedrijfsvoering met de Algemene Verordening Gegevensbescherming (AVG) in overeenstemming te brengen. De indienststelling van een ‘functionaris gegevensbescherming’, ofwel een interne toezichthouder op de verwerking van persoonsgegevens, is verplicht bij bedrijven die op grote schaal persoonsgegevens verwerken, bedrijven met meer dan 250 werknemers en overheidsdiensten. Vanaf 25 mei 2018 is de vrijblijvendheid definitief verdwenen en kunnen boetes oplopen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet van een onderneming.
Schermer raadt bedrijven die veel persoonsgegevens verwerken aan om zo snel mogelijk in kaart te brengen wat er wanneer verzameld wordt, en vooral waarom. Hij verwacht dat datagedreven organiaties, bijvoorbeeld e-commercebedrijven beter aan de nieuwe compliancy zullen voldoen dan bedirjven die traditioneel weinig met ict en data doen. Ook de omvang van bedrijven speelt volgens hem een rol. Met name het mkb moet volgens hem nog grote stappen maken.
De universitair hoofddocent benadrukt dat privacy consultancy zich wereldwijd tot een miljardenbusiness ontwikkelt: de staatssecretaris van Veiligheid en Justitie becijferde eerder in een brief aan de Eerste Kamer dat de nalevingskosten voor het Nederlandse bedrijfsleven zullen toenemen van 72,5 miljoen euro in 2015 naar 1,1 tot 1,5 miljard euro in 2018.
Apart dat wat Schermer “de hausse aan datalekken” noemt, de AP dat toch wat anders beziet in een eerder artikel op deze site. Wilbert Tomesen, vicevoorzitter van de Autoriteit Persoonsgegevens, bij BNR Nieuwsradio: ‘Wij gaan ervan uit dat er in Nederland 135.000 bedrijven, instanties, overheden en ziekenhuizen omgaan met persoonsgegevens en dus potentieel door een lek kunnen worden getroffen. Als wij het aantal meldingen van 3400 afzetten tegen dat aantal vinden wij het aantal meldingen nog niet overdonderend veel.’
Wat Schermer constateert is niets nieuws. En met een ‘nieuwe generatie ict-bedrijfsjuristen’ heeft het geen fluit te maken.
Bij iedereen die een beetje thuis is op privacy-terrein is er al jaren verbazing over het aantal zelfverklaarde ‘privacy-deskundigen’.
De door VNO/NCW geschatte “25.000 benodigde privacy-specialisten” lijkt mij overigens een tikje overdreven. Maar sinds wanneer heeft VNO/NCW plotseling verstand van zaken? Illustratief zijn daarbij de bezwaren die VNO/NCW 1998 opwierp bij het wetsontwerp WBP bijvoorbeeld t.a.v. invoeringstermijn, Functionaris Gegevensbescherming en sancties. ‘Privacy hindert doelmatigheid’ riep VNO/NCW nog in 2005.
Het heeft dan ook weinig te maken met gebrek aan expertise – dat was al bekend – als wel met een jarenlang gebrek aan verantwoordelijkheid bij bestuurders van overheden en bedrijfsleven op het gebied van Governance & Compliance. Sinds de ’80-jaren ook al niets nieuws, en het sanctie-regime van EDRP zal daar weinig aan veranderen. Zoals ik elders al voorspelde: over twee jaar gaan bedrijven en overheden brandbrieven sturen ‘dat het toch wel érg veel werk is en méér tijd kost dan gedacht’.
VNO/NCW is vast al aan het nadenken over landelijke workshops en congressen om ‘bewustzijn te kweken’, uiteraard met borrel en boek.
Hoewel in eerdere concept versies van de AVG sprake is geweest van een verplichting tot het aanstellen van een functionaris voor gegevensbescherming voor bedrijven die meer dan 250 werknemers hebben heeft dat de definitieve versie niet gehaald. Een verplichte aanstelling van een functionaris voor gegevensbescherming is in de AVG beperkt tot overheidsdiensten, organisaties die grootschalig bijzondere categorieën persoonsgegevens verwerken en die gevallen waarin sprake is van stelselmatige observatie van betrokkenen.
Dat laat onverlet dat het aanstellen van een functionaris voor gegevensbescherming, ook in die gevallen waarin het niet verplicht is, zeker verstandig kan zijn.
Voor bedrijven die meer dan 250 medewerkers in dienst hebben geldt overigens wel de verplichting tot het houden van een register van de verwerkingsactiviteiten. Dit register dient op verzoek van de toezichthoudende autoriteit (AP) ter beschikking gesteld te worden. Deze administratieve verplichting geldt niet voor organisaties die minder dan 250 personen in dienst hebben, tenzij de aard van de verwerking anders vereist. (Bijvoorbeeld in het geval van verwerking van bijzondere persoonsgegevens).
Uiteraard, en dat is natuurlijk weinig opzienbarend, als er ontwikkelingen gaande zijn van deze magnitude, zie je dat jan en alleman er opduiken uit, what’s new’ puur commercieel oogpunt. Maar is het niet aan de betreffende onderneming zelf dan eens in beweging te komen en actie te nemen?
Laten we wel zijn, dit komt nauwelijks uit de lucht vallen en als er de instelling is,’het zal mijn tijd wel duren’… iets wat in toenemende mate met al dat excellerende young upcoming talent het geval is, krijg je dit soort perikelen en beweging.
Een bijzonder eenvoudig juridisch advies in deze:
Stel een aansprakelijkheidsclausule op waarbij je de betreffende professional die zich aanbied financieel aansprakelijk kunt stellen bij gebleken incompetentie.
In dit geval houd dat in dat als missers aantoonbaar plaats vind door gebrek aan expertise, dan ben je snel klaar. Immers, als je als professional je ergens voor aanbied, moet je ook gewoon durven te tekenen oor eventuele gevolgen door grove onkunde en/of aantoonbare nalatigheid.
Zo ingewikkeld hoeft men het zich nu natuurlijk ook weer niet te maken lijkt mij.
De focus gericht op Meldplicht Datalekken en/f privacy; een fragmentarische aanpak, die leidt tot verdere wildgroei en symptoom bestrijding.
Begin bij het begin. Laat de Privacy & Security by Design deskundigen opstaan en” zich verbinden” met de Verantwoordelijken, Marketing en Product/dienstontwikkeling.
Net als de Automotive/Luchtvaart industrie.
Van dit soort deskundigen kunnen wij voorlopig er niet genoeg van hebben.
Hoewel in eerdere concept versies van de AVG sprake is geweest van een verplichting tot het aanstellen van een functionaris voor gegevensbescherming voor bedrijven die meer dan 250 werknemers hebben heeft dat de definitieve versie niet gehaald. Een verplichte aanstelling van een functionaris voor gegevensbescherming is in de AVG beperkt tot overheidsdiensten, organisaties die grootschalig bijzondere categorieën persoonsgegevens verwerken en die gevallen waarin sprake is van stelselmatige observatie van betrokkenen.
Dat laat onverlet dat het aanstellen van een functionaris voor gegevensbescherming, ook in die gevallen waarin het niet verplicht is, zeker verstandig kan zijn.
Voor bedrijven die meer dan 250 medewerkers in dienst hebben geldt overigens wel de verplichting tot het houden van een register van de verwerkingsactiviteiten. Dit register dient op verzoek van de toezichthoudende autoriteit (AP) ter beschikking gesteld te worden. Deze administratieve verplichting geldt niet voor organisaties die minder dan 250 personen in dienst hebben, tenzij de aard van de verwerking anders vereist. (Bijvoorbeeld in het geval van verwerking van bijzondere persoonsgegevens).