De aankomende verordening gegevensbescherming (AVG) zorgt voor kopzorgen bij bedrijven en heeft voor de nodige mythes gezorgd. Eén daarvan is dat organisaties bij een datalek direct een boete van twintig miljoen euro mogen betalen. Dat zegt Peter Kager, juridisch adviseur bij ICTRecht, tijdens een panelgesprek in het Computable Café op de Infosecurity.nl en Data & Cloud Expo over de AVG.
Computable organiseerde tijdens de beurscombinatie Infosecurity.nl en Data & Cloud Expo voor de tweede keer het Computable Café. Hier werd een firechat ‘GDPR – this is your last chance!’ gehouden. Deelnemers aan het panelgesprek waren juridisch adviseur Peter Kager (ICTRecht), Jeannine Peek (Dell EMC en Raad van Advies Autoriteit Persoonsgegevens), Abraham Mouritz (Tech Law), Rob Akershoek (Shell) en Edwin Charité (Localis SMC).
Reputatieschade
‘Een organisatie moet het wel erg bont maken om een boete van twintig miljoen euro opgelegd te krijgen’, zegt Kager. ‘De wet is geschreven dat er gradaties in overtredingen en boetes zijn. Dit geeft de wetshandhaver interpretatieruimte. De AVG is niet zo zwart/wit geschreven als bijvoorbeeld de opgelegde boete voor door een rood verkeerslicht te rijden.’
‘Wees daarom niet bang dat je direct bij een overtreding een boete van twintig miljoen euro krijgt. Dat is alleen in uitzonderlijke situaties. Bovendien wordt er bij het opleggen van een boete rekening gehouden met de financiële draagkracht en omvang van de organisatie. De wet dient eerder als een prikkel om te voldoen aan de gestelde eisen en is niet ingericht om bedrijven failliet te maken.’
Abraham Mouritz vult aan dat een bedrijf zich niet enkel moet blindstaren op de boetes. ‘Die zijn altijd wel te betalen. Maar de reputatieschade die je oploopt door niet te voldoen aan de wet is vele malen erger en lastiger op te lossen.’
Security in DNA
Rob Akershoek, solution architect bij Shell, vertelt dat governance, risk management en compliance (grc) nog niet in het dna van de meeste organisaties zit. ‘Zij houden tijdens de ontwikkeling van producten of diensten geen rekening met de gehele levenscyclus van het product en lopen hierdoor achter de feiten aan. De security wordt pas bekeken als er een probleem voordoet en dan wordt gezocht naar een tijdelijke oplossing. Dat is niet de juiste benadering: security moet structureel meegenomen worden.’
Hoe zit het dan met de security van Shell, wordt vanuit de zaal gevraagd. Akershoek zegt dat de organisatie vrij volwassen is op het gebied van it. ‘Bij de ontwikkeling van nieuwe apps kijken we naar de privacy en voeren we threats assessments uit. We beschikken over een lijst met eisen die tijdens de ontwikkeling en testfase wordt afgevinkt.’
Deadline halen
‘De ingangsdatum van de wet is al een lange periode bekend’, vertelt Jeannine Peek, algemeen directeur Dell EMC. ‘Om deze deadline te halen moeten organisaties nu écht stappen gaan maken. Breng in kaart welke data je hebt en bijvoorbeeld hoe kritisch deze data zijn? Vervolgens moet er een omgeving gecreëerd worden waarbij alles onder controle is.’
De directrice zit ook in de Raad van Advies bij de Autoriteit Persoonsgegevens (AP). Vanuit die rol merkt zij dat vooral het mkb bang is voor de aankomende wet. ‘Ze zijn overweldigd wanneer ze erover lezen en steken vervolgens hun kop in het zand.’ Ze stelt dat in de afgelopen jaren veel privacywetgeving is opgekomen en dat nu vooral wat zaken worden aangescherpt. ‘Daar moet naar gehandeld worden. Om de organisaties op weg te helpen, ontwikkelen wij in samenwerking met Nederland ICT aan een stappenplan om compliant te worden.’
Mouritz: ‘Het hebben van een datalek is geen overtreding, het niet melden van een datalek is wel in overtreding. De AP kijkt bij een melding vooral naar een organisatie in de afgelopen tijd heeft gedaan om een datalek te voorkomen. Als je nog steeds gevoelige informatie via e-mail verstuurd, valt dat niet in goede aarde. Zorg dus dat je administratie op orde is en dat je een plan hebt hoe je een lek moet voorkomen. Voorkomen is beter dan genezen.’
Goede informatie. Dank.