Print:

Dit is wat privacy officers van onderzoeken moeten weten

Redactie IIR , Trainingen & Conferenties

LinkedIn profiel

Er gaat tegenwoordig vrijwel geen dag voorbij of er verschijnen berichten in de media over een datalek, cyberincident of privacy-onderzoek. Welke actuele feiten en cijfers zijn relevant voor privacyprofessionals – en wat kunnen verschillende soorten onderzoeken betekenen in de dagelijkse werkpraktijk?

Over de handhaving van de Algemene verordening gegevensbescherming (AVG) is veel te doen. Gaat de Nederlandse toezichthouder Autoriteit Persoonsgegevens (AP) actief op onderzoek uit – en volgen daarna hoge boetes? Het is inmiddels duidelijk dat diverse toonaangevende organisaties in elk geval op internationaal niveau onder een vergrootglas liggen. Onder andere Über, Facebook, Google, Yahoo en Heathrow kregen al sancties opgelegd.

IIR Privacy

 

De handhavende onderzoeken van toezichthouders zijn een interessante bron van informatie voor privacy officers en Functionarissen voor de Gegevensbescherming (FG’s). Allereerst geeft de handhavingspraktijk een indruk van de prioriteiten van de AP en haar zusterorganisaties. Zo heeft het toezicht zich tot nu toe vooral gericht op een aantal nieuwe verplichtingen uit de AVG, zoals het register van verwerkingsactiviteiten en de aanstelling van de FG bij overheidsorganisaties en zorginstellingen. Daarnaast kunnen de onderzoeken van toezichthouders inzichten opleveren over de invulling van de open normen in de wet, zoals de grondslagen voor de verwerking van persoonsgegevens.

Het toezichtveld is niet de enige onderzoeksbron waarvan privacyprofessionals gebruik kunnen maken. Er verschijnen steeds meer surveys en publicaties die bruikbare cijfers en feiten opleveren. Drie onderzoeksresultaten die praktisch toepasbare inzichten opleveren.

De risico’s van e-mail

Organisaties springen nogal eens slordig om met gegevens in e-mailberichten: door tikfouten in de adressering komen e-mails terecht bij de verkeerde ontvangers. Dat constateerde de Cyberonderzoeksraad eerder dit jaar in onderzoek dat onder leiding van Brenno de Winter werd uitgevoerd. De AP concludeerde al eerder dat de onjuiste adressering van e-mail de meest voorkomende oorzaak van datalekken is.

De Winter en zijn onderzoeksteam waarschuwen ook voor de opslag van berichten in mailboxen. In de mailbox zit steeds vaker privacygevoelige en bedrijfsvertrouwelijke informatie, soms zelfs van jaren geleden. Zo’n archief vormt een risico bij hacks – en staat op gespannen voet met de AVG, die voorschrijft dat persoonsgegevens niet langer worden bewaard dan noodzakelijk.

Toestemming voor tracking cookies

De NOS meldde recent op basis van eigen onderzoek dat honderden Nederlandse websites tracking cookies verzamelen van consumenten zonder dat die daarvoor toestemming hebben gegeven. Volgens de NOS zou het gaan om ruim 1.300 websites. In totaal werden zo’n 10.000 IP-adressen bekeken.

De AP heeft aangekondigd naar aanleiding van de inventarisatie van de NOS een eigen onderzoek te starten. Een deel van de onderzochte websites opereert mogelijk op de grens van het toelaatbare: de site plaatst nog geen tracking cookies bij een eerste bezoek, maar wel als consumenten vervolgens verder surfen. Volgens juristen is het de vraag of deze praktijk voldoet aan het toestemmingsprincipe uit de ePrivacy Richtlijn en AVG.

Voordelen van AVG-compliance

Volgens internationaal onderzoek van CISCO plukken bedrijven die serieus werk maakten van de implementatie van de GDPR daar nu de vruchten van. De bedrijven hebben bijvoorbeeld minder datalekken dan concurrenten die nog niet AVG-proof zijn. Daarnaast zijn consumenten volgens  het onderzoek van CISCO eerder geneigd om zaken te doen met organisaties met goede privacypraktijken.

Onderzoek als bron en instrument

De lessen uit bovengenoemde onderzoeken liggen voor de hand. Zorg voor privacy awareness rond de e-mailbox. Let op dat voor tracking cookies rechtsgeldige toestemming wordt gevraagd. En vergeet niet om de business benefits van AVG-compliance in de schijnwerpers te zetten om het interne draagvlak voor privacy te versterken.

Onderzoeken zijn niet alleen zinvol als kennisbron. Er zijn ook andere manieren waarop onderzoek een rol speelt in de werkpraktijk van privacyprofessionals. Sommige onderzoeken kunnen bijdragen aan compliance, zoals privacy-audits, risk assessments en Data Protection Impact Assessments (DPIA’s). Daarnaast kunnen surveys om de interne privacy awareness te monitoren hun nut bewijzen. Door regelmatig te toetsen in hoeverre medewerkers op de hoogte zijn van specifieke regels en richtlijnen, kunnen privacy officers en FG’s onderbouwde adviezen geven over aandachtspunten en prioriteiten. In combinatie met uitkomsten van andere onderzoeken hebben privacyprofessionals daarmee tools in handen om een gedegen privacybeleid te ontwikkelen – en compliance dus echt naar een hoger niveau te tillen.

Goed beslagen ten ijs komen met DPIA’s en andere onderzoeken? Volg een verdiepingscursus zoals over AVG-compliance, of ga voor de volledige opleiding Certified Data Protection Officer.

Meer informatie?

Laat uw e-mail achter en ontvang de Dataprotectie & Privacy gids direct in uw mailbox.