Aftellen tot Europese privacywetgeving

De nieuwe Europese privacywetgeving gaat snel van kracht. Maar veel betrokken onderschatten dit "lesje vanuit Brussel."

Bijna alle bedrijven, organisaties en instellingen krijgen er vanaf 25 mei mee te maken: de nieuwe Europese privacywetgeving. Ingrijpend, noemen insiders deze Algemene Verordening Gegevensbescherming. Maar die AVG wordt ook: onderschat, althans door veel van de betrokken partijen. Betrokkenen denken maar al te vaak dat het wel los zal lopen met weer zo’n “lesje vanuit Brussel.

Doel van de AVG is persoonsgegevens in de gehele EU beter te beschermen. Waarom worden die gegevens verzameld, waarvoor worden ze gebruikt, hoe worden ze eigenlijk bewaard? En, ook een grote wijziging in de nieuwe situatie na 25 mei: burgers krijgen het recht op dossierinzage. Wie heeft er naar hun gezocht, wie kijkt er mee? Heel anders allemaal dan de aloude Nederlandse Wet Bescherming Persoonsgegevens. Waarmee moeten welke bedrijven rekening houden, wat zijn de belangrijkste do’s en don’ts?     

Beveiligen op topniveau

EU-burgers krijgen straks ‘weigerrecht.’ Met andere woorden: ingezetenen van de Europese Unie kunnen hun persoonsgegevens afschermen, waardoor die niet langer door derden commercieel worden gebruikt, misbruikt. Gegevensbescherming in optima forma. Als het toch misgaat, kan diezelfde burger voortaan zijn of haar beklag doen. In Nederland is daarvoor de Autoriteit Persoonsgegevens (AP) actief. Meldpunt voor burgers die eisen dat gegevens worden ‘vergeten’.

Ook buitenlandse bedrijven die zich op Nederlandse klanten richten, moeten zich aan de AVG houden en zijn verplicht beveiliging van data te waarborgen. Bovendien moeten bedrijven door middel van het Data Protection Impact Assessment onderzoeken wat de impact is op de privacy van potentiële klanten. Vanzelfsprekend voordat die worden benaderd. IT-systemen en applicaties moeten daarnaast zo zijn ingesteld dat privégegevens standaard de hoogst mogelijke beveiliging hebben. Privacy by design. En uitgangspunt is verder dat persoonsgegevens zo weinig mogelijk worden verwerkt. Privacy by default.

Voor wie geldt de AVG?

Elk bedrijf dat persoonsgegevens opslaat, gebruikt, analyseert en/of combineert, weer verwijdert, krijgt met de nieuwe privacywetgeving te maken. En onder ‘persoonsgegevens’ wordt alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon gerekend. Namen, adressen, medische data, profielen, gedrag. Bedrijven en instellingen moeten een wettelijke en rechtmatige reden hebben om persoonsgegevens te verwerken. Bovendien moet betrokkene toestemming geven voor verwerking. Tenzij die noodzakelijk is ‘voor uitvoering van een overeenkomst waarbij de betrokkene partij is.’ Aldus de AVG.

Sancties bij overtredingen

Die kunnen heftig uitpakken. De AVG is mei 2016 in werking getreden, maar tegelijkertijd werd een aanpassingstermijn van twee jaar afgesproken. Zodat ondernemingen en organisaties zich kunnen voorbereiden op de nieuwe wetgeving en tijd hebben hun bedrijfsvoering, computersystemen en personeelsbestand aan te passen. Die twee jaar zijn nu bijna verstreken. En dus gaat de Autoriteit Persoonsgegevens vanaf 25 mei overtreders aanpakken. Met boetes die in theorie oplopen tot maximaal 4 procent van de jaaromzet. Als hoogste sanctie wordt een duizelingwekkende 20 miljoen euro genoemd. Dat het allemaal wel mee zal vallen - veel bedrijven en instellingen als ziekenhuizen reageerden aanvankelijk schouderophalend - wordt genadeloos gelogenstraft door AP-voorzitter Aleid Wolfsen. Het voormalige PvdA-Kamerlid en de oud-burgemeester van Utrecht laat er geen enkele twijfel over bestaan. Waakhond AP zal niet  schromen hoge boetes aan notoire overtreders op te leggen, aldus Wolfsen.  

Hoe boetes te voorkomen?

Bijvoorbeeld door een functionaris gegevensverwerking in dienst te nemen. Althans die mening leeft bij veel overheidsinstellingen, ziekenhuizen, scholen en particuliere opleidingsinstituten. Zo’n nieuwbakken medewerker houdt dan strikt toezicht op de juridische kant van gegevensverwerking en meldt onverhoopte datalekken binnen 72 uur bij de Autoriteit Persoonsgegevens. Aanvankelijke eis van de Nederlandse overheid dat alle bedrijven met meer dan 500 werknemers zo’n ook wel Data Protection Officer (DPO) genoemde functionaris in dienst moeten nemen, is inmiddels komen te vervallen. Die verplichting geldt nog wel voor overheidsinstanties en publieke organisaties (bijvoorbeeld rijksoverheid,, provincies en die al eerder genoemde  zorg- en onderwijsinstellingen).

Én voor bedrijven die als kernactiviteit op grote schaal individuen volgen en bijzondere persoonsgegevens opslaan en verwerken. Achilleshiel in de strijd tegen datalekken is volgens experts de software die veel Nederlandse bedrijven. gebruiken. En hoe goed die zojuist in dienst genomen functionaris gegevensverwerking ook op de hoogte is van de kleine lettertjes in die nieuwe Europese wetgeving, als de IT van haar of zijn onderneming geen gelijke tred houdt, blijft het risico van datalekken levensgroot. Na incidenten zal tegenover de AP moeten worden aangetoond dat alles is gedaan om aan de Algemene Verordening Gegevensbescherming te voldoen. En dat de risico's op een datalek zo goed als mogelijk zijn geneutraliseerd.

Voorbeeld uit de praktijk
Edward van Deursen is CEO van Securesult BV in Veenendaal. Zijn bedrijf is gespecialiseerd in databescherming. Als ethical hacker kent Van Deursen de kwetsbare plekken in computersystemen, in verouderde software. Die kunnen hij en zijn zeven medewerkers feilloos blootleggen, waarna ‘reparatie’ plaatsvindt. Zelf was de directeur van Securesult BV afgelopen jaar gedetacheerd bij de Raad van State in Den Haag. Als bij ‘s lands hoogste bestuursrechter een beveiligde telefoon van een van de medewerkers gestolen blijkt, meldt Van Deursen dat onmiddellijk aan de Autoriteit Persoonsgegevens.

“Want ook de ogenschijnlijk zo simpele diefstal van een telefoon, laptop of iPad betekent een datalek”, vertelt hij. “Ik merk in de praktijk dat bedrijven en organisaties hun zaakjes juridisch vaak best op orde hebben. Opleidingen voor DPO's schieten als paddestoelen uit de grond. een nieuw beroep is geboren, een lucratieve markt ontdekt. Primal. Maar technisch schort er ook nog vaak veel aan. Want louter en alleen een Data Protection Officer op de loonlijst? Beslist geen waterdichte garantie tegen datalekken! Als het digitaal allemaal niet up-to-date is, schiet een bedrijf met zo’n  juridische expert bar weinig op. Veel organisaties en bedrijven denken dat ze klaar zijn voor de AVG, klaar voor 25 mei. Maar in werkelijkheid zijn datalekken daar vaak nog aan de orde van de dag. Ethical hackers kunnen gaten in de digitale beveiliging signaleren. En die vervolgens met oplossingen op maat dichten.”