Print:

Privacy: lust en last, als USP en auditrisico

Jasper Bakker , Freelance ICT & internet-journalist

LinkedIn profiel

Privacy is niet langer een zaak van een enkele bewuste consument of een campagne voerende stichting. Strenge Europese regels worden dit jaar van kracht en raken organisaties in alle soorten en maten. Audits in aantocht.

Laten we beginnen met het positieve nieuws: er komt meer duidelijkheid op het gebied van privacy. Jarenlang was het lang niet elke organisatie helder wat nu precies privacygevoelige gegevens waren en wanneer er sprake was van privacyschending. Vaak werd er van geval tot geval bekeken en bepaald of en hoe privacy van consumenten en burgers in het geding kwam.

Privé geachte gegevens

Datalekkage is nog een complicerende factor hier bovenop. Een groot lek van niet privé geachte data kan minder ernstig zijn dan een relatief klein lek van wel gevoelige gegevens. Let op de formulering “privé geachte” want definitieve duidelijkheid is er niet altijd, mede doordat inzichten kunnen veranderen of opschuiven. Zo is er al jaren discussie over de vraag of een IP-adres wel of niet privacygevoelig data is.

Terwijl een IP-adres technisch gezien niet naar een persoon maar naar een apparaat leidt, blijkt het in de praktijk toch vaak persoonsgericht uit te komen. Dit is zeker het geval in combinatie met andere gegevens. Of een datalek een privacyschending is, hangt dus af van omstandigheden zoals hoeveelheid en combinaties van die gegevens.

Het uitvogelen hiervan is sinds begin 2016 in Nederland verplicht vanwege de impactvolle Meldplicht Datalekken. Deze verplichting om datalekken te melden bij de privacytoezichthouder komt voort uit de Wet bescherming persoonsgegevens (Wbp). Nederland heeft hiermee het voortouw genomen op nieuwe, overkoepelende Europese richtlijnen die komend jaar van kracht worden. De aankomende Europese Algemene Verordening Persoonsgegevens (AVG) legt de lat echter nog wat hoger.

Bewijslast

Deze Europese privacyverordening legt organisaties vergaande verplichtingen op om te kunnen aantonen dat ze voldoen aan alle AVG-verplichtingen. Je best doen om privacy te beschermen, is niet afdoende. Een eventueel datalek met privacygevolgen netjes en tijdig melden, is ook niet afdoende. Organisaties moeten nauwgezet bijhouden en kunnen ophoesten wat en hoe ze hebben gedaan met betrekking tot privacygevoelige gegevens en de diverse vereisten van de AVG.

Dit komt dus neer op een omvangrijke compliance-operatie, waarmee het vaak toch al als lastig ervaren ‘privacy’ helemaal een last dreigt te worden. Een stok achter de deur is het dreigende feit dat onder de AVG veel hogere boetes opgelegd kunnen worden dan bij de Nederlandse Meldplicht Datalekken al het geval is. In plaats van maximaal 820.000 euro ligt het plafond op de hoogste van twee opties: 20 miljoen euro of 4 procent van de totale bedrijfsomzet.

Kosten maar ook baten

Lasten, complianceverplichtingen en auditrisico’s, maar waar zijn dan de lusten? Nou, momenteel is slechts één op de tien Nederlandse organisaties klaar te zijn voor de nieuwe Europese privacywetgeving. Tenminste, één op de tien zegt zelf klaar te zijn. Dit blijkt uit recent onderzoek naar Privacy Governance door adviesbureau en accountancy PwC. Tweederde van de ondervraagde organisaties is druk doende met de voorbereiding, maar een kwart is daar nog niet eens mee begonnen. Een organisatie die vóór de inwerkingtreding op 25 mei 2018 – of eerder nog – zijn privacyzaken op orde heeft, kan zich daarmee onderscheiden van vele concurrenten. Privacy als unique selling point (USP) dus.

Meer weten? Bezoek het congres Voorbereidingen Algemene Verordening Gegevensbescherming (AVG)!