Print:

Privacy audit maakt risico’s inzichtelijk

Kim Loohuis ,

LinkedIn profiel

De Europese Commissie wil dit jaar nieuwe databeschermingsregels implementeren die vanaf 2017 gehandhaafd moeten worden. Die Europese Privacy Verordening (EPV) heeft verregaande consequenties voor organisaties. Zij worden verplicht om hun data optimaal te beschermen. Falen zij daarin, dan kunnen ze boetes tot honderd miljoen euro of tot 5 procent van de omzet tegemoet zien.

De General Data Protection Regulation, zoals de verordening officieel heet, komt erop neer dat een bedrijf aantoonbaar moet voldoen aan de wet- en regelgeving rondom privacy. “Dat betekent dat het niet alleen juridisch moet zijn geregeld, maar ook materieel, dus dat de ICT-systemen er ook naar ingericht zijn én werken. Om dat te realiseren is gedrag binnen een organisatie nodig dat hiermee in lijn loopt”, legt Jean Paul van Schoonhoven uit. Hij is directeur van Legal2Practice, een juridisch adviesbureau dat organisaties ondersteunt bij juridische, compliance en privacy gerelateerde zaken. Daarnaast is hij als docent verbonden aan het opleidingsinstituut IIR waar hij onder meer de training Privacy Audit Fundamentals geeft.

Meldplicht datalekken
Naast de Europese Commissie vindt ook de Nederlandse overheid dat de bescherming van privacy op dit moment onvoldoende wordt gewaarborgd. Ongeacht of de Europese verordening er komt of niet, ligt er op dit moment ook een wetsvoorstel tot wijziging van de Wet bescherming persoonsgegevens (Wbp) bij de Eerste Kamer. Deze wetswijziging behelst enerzijds de meldplicht datalekken die stelt dat als een bedrijf privacygevoelige data kwijtraakt, ze dat direct moet melden bij zowel de toezichthouder als de betrokkene wier data is gelekt. Anderzijds bevat het wetsvoorstel de toekenning van een boetebevoegdheid aan de toezichthouder (het College bescherming persoonsgegevens) voor alle mogelijke schendingen van de Wbp. Voor Nederland zou het dan gaan om boetes tot maximaal 810.000 euro. “Maar als de Europese verordening er komt, dan zijn er boetes denkbaar tot 5 procent van de wereldwijde omzet van een bedrijf, en kan het dus om gigantische boetebedragen gaan”, zegt Van Schoonhoven.

Inzicht in privacy risico’s
Hij adviseert organisaties om zich goed te verdiepen in privacy compliance. Niet alleen ter voorkoming van boetes, maar vooral ook voor het behoud van klantvertrouwen, het beheersen van de reputatie van het bedrijf en, in geval van publieke en semipublieke organisaties, ook het maatschappelijke vertrouwen. “Daarnaast geeft het inzicht in de gegevensstromen binnen een organisatie en wordt duidelijk waar mogelijke risico’s liggen. Dat is natuurlijk breder, maar privacy is een goed startpunt.” Tot slot wijst Van Schoonhoven erop dat privacy een grondrecht is dat ligt verankerd in het Europese Verdrag voor de Rechten van de Mens en onze Nederlandse grondwet.

Privacy audit
Een goede manier om helder te krijgen of een organisatie voldoet aan de privacy wet- en regelgeving is een privacy audit. Hoewel de perceptie bestaat dat zo’n audit nog niet breed wordt toegepast in Nederlandse bedrijven, kan een privacy audit organisaties veel meerwaarde opleveren. Van Schoonhoven: “Doordat processen beter in kaart zijn gebracht, is helder waar de privacy risico’s liggen.” Hij geeft het voorbeeld van het recht op inzage van eigen persoonsgegevens dat ieder mens heeft. Het is een sterk recht waar over het algemeen nog weinig gebruik van wordt gemaakt in ons land. “Als een organisatie één zo’n verzoek krijgt, is dat meestal geen probleem. Worden dat er significant meer, bijvoorbeeld zo’n vijftig per week, dan loopt een bedrijf daar een operationeel risico. Het kost capaciteit en geld om adequaat aan zoveel verzoeken te voldoen. Systemen en processen moeten daarop ingericht worden.” Met een privacy audit kan een organisatie erachter komen of ze hun it-omgeving beter zouden moeten inrichten. Zijn ze cybercrime proof? Lopen ze risico op een datalek en zo ja, waar dan? Heeft een bedrijf zijn HR-processen bijvoorbeeld uitbesteed? En zijn daar persoonsgegevens bij betrokken? Als dat het geval is, welke risico´s loopt het bedrijf daar? Hoe kan een organisatie aantoonbaar en auditeerbaar voldoen aan privacyregelgeving? “Een organisatie kan besluiten om risico’s bewust te nemen, maar het moet wel een bewuste keuze zijn. Nu wordt een privacy risico vaak niet gezien of niet onderkend. In potentie zijn niet tijdig onderkende risico´s Pandora’s doos”, zegt Van Schoonhoven.

Privacy Audit Fundamentals
Om goed voorbereid te zijn op de wijziging van de Wbp en de mogelijke implementatie van de Europese Privacy Verordening zouden organisaties zich moeten afvragen wat voor hen de concrete gevolgen zijn. Daarnaast is het aan te bevelen dat ze zich verdiepen in de vraag op welke wijze ze aantoonbaar privacy compliant willen en kunnen zijn, op welke wijze ze de straks wettelijk verplichte privacy officer moeten inbedden in de organisatie en welke impact de EPV nog meer op de bedrijfsvoering heeft als deze daadwerkelijk wordt aangenomen. Tijdens de training Privacy Audit Fundamentals leert u meer over al deze onderwerpen.

Kim Loohuis

Kim Loohuis is freelance journalist en tekstschrijver. Ze schrijft over diverse ICT-onderwerpen voor zowel organisaties als vakmedia.