Privacywetgeving: paniek bij bedrijven gaat nog komen
12 april 2016 | 4 min lezen
Nederlandse bedrijven hebben geen idee wat ze te wachten staat zodra de nieuwe EU-privacywetgeving van kracht wordt. Ze moeten nu maatregelen treffen en niet wachten tot 2018, waarschuwt dr. John Borking, als docent verbonden aan de TIAS Master of Information Management. Dat gaat verder dan het publiceren van een privacybeleid op je website. “De informatiemanager wordt een van de belangrijkste functionarissen van de komende tien jaar.”
De Europese General Data Protection Regulation (GDPR) wordt waarschijnlijk in mei goedgekeurd door het Europees Parlement en gaat dan in de hele EU gelden. De wetgeving dwingt bedrijven middels een omvangrijk pakket vereisten tot privacy compliance. Tot 2018 geldt een overgangstermijn. In die periode zal de impact van de wetgeving op organisaties duidelijk worden. In ieder geval zal een bedrijf:
- alle verwerkingen en datastromen moeten documenteren;
- DPIA’s moeten uitvoeren op processen die mogelijk een hoog privacyrisico vormen;
- privacyverklaringen/beleid en bewerkersovereenkomsten moeten aanpassen;
- privacyveilige architecturen (privacy-by-design) moeten toepassen in ontwerp-, inkoop- en beleidsprocessen;
- schriftelijke afspraken moeten maken met medeverantwoordelijken over de wettelijke verplichtingen.
John Borking: “Of er paniek is? De meeste bedrijven weten nog helemaal niet wat er aan de hand is. En moet nog veel aan voorlichting gedaan worden. Waarschijnlijk ontstaat de paniek druppelsgewijs.”
Wet Meldplicht Datalekken
Bezorgdheid is er vooral over de Wet Meldplicht Datalekken, het onderdeel uit de EU-wetgeving dat door Nederland naar voren is gehaald en van kracht is sinds 1 januari 2016. De inhoud is bekend. Bij een datalek moeten bedrijven binnen twee werkdagen nadat ze van het lek op de hoogte zijn geraakt, de Autoriteit Persoonsgegevens (AP) inlichten. Alle datalekken moeten voldoende gedocumenteerd zijn. Organisaties moeten dus precies aangeven waar lekken zijn opgetreden in de systemen en wat dat voor gevolgen heeft. Daarnaast moeten zij ook degenen van wie de gegevens gelekt zijn, op de hoogte brengen. Dit vereist dat bedrijven zo spoedig mogelijk procedures voor de meldplicht van datalekken implementeren.
Bij veel ondernemingen is de documentatie van de gegevensstromen nog lang niet goed geregeld, merkt Borking uit gesprekken met informatiemanagers. "Men heeft heel weinig inzicht. Velen hebben die datastromen nog nooit goed in kaart gebracht. En als je die niet goed in kaart brengt, kun je ook niet de kwetsbaarheden van je organisatie in kaart brengen." Hij verwacht de komende tijd dan ook een grote toename van bekendgemaakte datalekken.
Impact assessment
Maar de EU-privacywetgeving omvat meer dan een meldplicht. De GDPR schrijft dwingend een Data Protection Impact Assessment voor. Niet te onderschatten, waarschuwt Borking. “Wanneer je een systeem bouwt of veranderingen maakt in een systeem, moet je in kaart gaan brengen wat voor effect dat heeft op de bescherming van de persoonsgegevens van al die mensen die je in dat systeem hebt opgeslagen.”
Zo’n impact assessment gaat ver: van het maken van een data-analyse, het uitwerken van dataflows en het systematisch beschrijven van de verwerkingen van data, tot het uitvoeren van penetratietests en het maken van een risicoanalyse. “Heb je alle privacyissues en de gevolgen daarvan in kaart gebracht? Dan moet je in een rapport beschrijven welke privacyrisico’s je klanten lopen en hoe je die risico’s gaat afdekken. Ben je niet in staat om die risico’s af te dekken, dan is het heel goed mogelijk dat je op grond van de wet zo’n systeem niet mag bouwen en gebruiken. Daar staan boetes op tot wel 4 procent van de wereldwijde jaaromzet of 40 miljoen euro.” Er zijn nog geen gestandaardiseerde schema’s voor impact assessments, al zijn ze er ver mee in Canada.
Architectuur anders inrichten
Organisatorische maatregelen zijn niet afdoende om controle te krijgen over dataprocessen en systemen. Privacy-by-design is nodig, volgens Borking. “In het systeem zelf moeten al maatregelen zijn genomen om te voorkomen dat persoonsgegevens op een onrechtmatige manier worden verwerkt. Dat vergt een andere architectuur. Diverse privacy enhancing technologies (PET) en architecturen zijn hiervoor ontwikkeling.”
Als voorbeeld noemt hij audit logs die worden ingebouwd in een systeem en transparant maken hoe de gegevens van mensen worden verwerkt en aan wie die worden doorgestuurd. Reputation systems tonen aan of een bedrijf waar je data naartoe stuurt, wel betrouwbaar is. Ook moeten mensen zelf in staat worden gesteld om hun privacy te beschermen. “Sticky policies maken het mogelijk om je eigen beleid aan je data vast te maken. Je kunt bijvoorbeeld aangeven dat de gegevens na twee jaar niet meer gebruikt mogen worden, tenzij toestemming wordt gevraagd. De research toont dat dit mogelijk is, maar systemen moeten wel zo gebouwd worden dat die sticky policies ook geaccepteerd worden.”
Nieuwe informatiemanager
Impact assessments, privacy-by-design, privacy certificering: de informatiemanager kan zich maar beter gaan voorbereiden. Waar te beginnen? “Hij zal een heleboel kennis moeten opdoen”, stelt Borking. “Hij zal misschien mensen in dienst moeten nemen die over de benodigde kennis beschikken, zoals een data protection officier. Die data protection officer zal zowel juridisch als technisch goed onderlegd moeten zijn. De nieuwe informatiemanager wordt misschien wel degene die met al deze specialisten overleg voert om goed beleid van de grond te tillen.”
Voor het MKB is dat natuurlijk erg zwaar, beaamt hij. En een heleboel startups zullen in de verste verte aan dit soort vragen niet toekomen. Tenzij zo’n startup juist privacybescherming als unique selling point heeft. Daarom moeten er volgens hem tools worden aangereikt worden die bedrijven helpen om maatregelen snel en effectief te implementeren. “Zodat je niet elke keer het wiel hoeft uit te vinden.” Universiteiten kunnen hier met research een bijdrage leveren. Daarnaast: “Ik denk dat instituten meer voorlichting zullen moeten geven. Over de gehele linie moet het bedrijfsleven veel meer geïnformeerd worden. Ook opleidingen zullen daarop moeten gaan focussen.”
Topmanagement sensibiliseren
Voor de informatiemanager ligt er nog een belangrijke taak. Hij moet intern mensen alvast bewust maken dat er veel zwaardere eisen komen voor het beschermen van persoonsgegevens. “Je zult ze door een cursus moeten halen, ze moeten gaan sensibiliseren. Tot op hoog niveau”, aldus Borking. “Het topmanagement moet gaan zien dat privacybescherming een asset is dat vertrouwen geeft in een bedrijf en je reputatie en concurrentiekracht vergroot. En dat je organisatie er negatieve gevolgen van kan ondervinden wanneer je dit verwaarloost. Een aantal organisaties is voorbereid. Maar de meeste bedrijven, daar ben ik van overtuigd, zijn in de verste verte nog niet echt wakker.”
In de toekomst ontstaat een spanningsveld tussen privacybescherming en de druk om alleen maar meer gegevens binnen te halen. Dat roept nieuwe strategische vragen op voor bedrijven. “Big data, the internet of things, psychogrammen, clouds: dit zijn trends die privacybescherming onder druk zetten. Bij clouds is nog onduidelijk wat voor rechtsstelsel van toepassing is.” Privacybescherming wordt een groot issue voor de samenleving, benadrukt hij. “En het gaat niet meer weg. De informatiemanager gaat daar een hele belangrijke rol in spelen. Ik denk dat hij een van de belangrijkste functionarissen wordt van de komende tien jaar.”
Executive Master of Information Management
Dr. John Borking is privacy-by-design expert en is verbonden aan TIAS. Hij doceert het vak ‘Legal & Privacy Aspects’ in de laatste module van de Executive Master of Information Management. Deze opleiding biedt u de expertise om organisatorische processen te analyseren, te ontwerpen en te implementeren via strategisch opgezette IT-processen.
Lees meer over deze Master