ZBC Kennisbank

Nu nog leren om volwassen om te gaan met privacy

 

Vaak hoor ik organisaties roepen dat ze alles op orde hebben omtrent de AVG. Zij blijken dan vaak een prachtige set aan papieren tijgers gemaakt te hebben. Hiermee voldoen ze aan de eisen van de AVG. Wanneer ik dan vervolgens vraag of de bescherming van persoonsgegevens is verbeterd, wordt het ineens stil.

‘Het gaat toch om de AVG en het vermijden van boetes? Dat hebben we gedaan.’ De deadline van 25 hebben we gehaald en voor alles wat nog moet gebeuren hebben we een verbeterplan opgesteld. En zo mag het van de AVG! Maar gaat het daar eigenlijk wel over in de AVG?

25 mei was geen eindpunt maar juist de start

Na de aankondiging van de Algemene Verordening Gegevensbescherming (AVG) in april 2016, hadden organisaties twee jaar de tijd om aan de strengere privacyregels te voldoen. Vanaf mei 2018 kunnen bedrijven hoge boetes krijgen, Wanneer zij nog niet aan de nieuwe maatregelen voldoen,  moeten ze dat kunnen verantwoorden. Maar aan wie moeten ze verantwoording afleggen? Is dat de Autoriteit Persoonsgegevens (AP)?
Ik dacht het niet. Privacy is geen hobby van politici of juristen. (Zie ook ‘Juristen hebben bedrijven met de AVG op een dwaalspoor gezet’.) Het is een behoefte van betrokkenen, dus van je klanten of van hun klanten. Het gaat niet om juridische houdbaarheid, maar om het winnen en vasthouden van het vertrouwen van klanten of ketenpartners.
In onze samenleving, waar regels en wetgeving centraal staan, is het belangrijk te onthouden dat de AVG geen einddoel is. Het is een uitgangspositie die ons het komende decennium stuurt richting een sterk, meer consumentgericht, privacybeleid. Met dit beleid kunnen we het gebruik van gegevens controleren op een manier die we ons nu nog niet  kunnen voorstellen. We kunnen immers simpelweg niet voorspellen welke nieuwe technologieën in de toekomst beschikbaar zullen zijn en welke privacymaatregelen daarvoor noodzakelijk zijn.  Zo is ‘internet of things’ niet voorzien in de AVG en wordt dus ook niet beschreven aan welke eisen producenten van apparaten moeten voldoen om het mogelijk te maken informatie over het gebruik van dat apparaat te verzamelen. De AVG is dus een reis en we zijn nog lang niet op de eindbestemming aangekomen.
Laat een ding duidelijk zijn: er is geen reden voor bedrijven om bang te zijn voor de impact van de AVG. Als bedrijven kunnen aantonen dat ze aanzienlijke inspanningen leveren om aan de eisen te voldoen, biedt de AVG hun eerder een kans dichterbij de klant te komen, zich te onderscheiden ten opzichte van hun concurrenten en sneller te reageren op de ontwikkeling van nieuwe technologie. Het blijft dus een business issue, maar niet vanwege de boete.

Hoe nu verder?

Bij de opzet van eerdere wetgeving rondom de beveiliging van gegevens konden we ons niet voorstellen hoe we nu met gegevens omgaan. Intussen hebben we geleerd hoe onvoorspelbaar de technologische toekomst is. Innovatie en markten ontwikkelen zich snel en op een manier die zelfs met de beste beleidsinspanningen niet is bij te benen. Dit betekent niet dat de AVG hier geen rekening mee houdt. De 99 artikelen die zijn opgesteld, zijn op zekere hoogte toekomstbestendig. Toch zal ook de AVG op een zeker moment achterhaald zijn en aangepast moeten worden.
Bedrijven moeten vanaf nu bedenken hoe ze nieuwe oplossingen kunnen implementeren, waarbij privacy is gewaarborgd, of het nu gaat om productaanbiedingen of andere bedrijfsactiviteiten. En ze mogen niet vergeten dat de AVG niet altijd hetzelfde blijft. 25 mei was de start van een proces waar geen einde aan komt.
Recente gebeurtenissen waarbij privacy op grote schaal werd geschonden, hebben het publiek bewust gemaakt van het belang van zijn privacy. Grote hoeveelheden gegevens werden misbruikt, omdat bedrijven winst verkozen boven privacy. 
Het gevolg is dat overheden een antwoord eisen van de grote techbedrijven op de vraag hoe er wordt omgegaan met data. Eindelijk is de discussie losgebarsten over welk regelgevend toezicht er nodig is om onze gegevens te kunnen beschermen. Daarbij moeten we de lat een stuk hoger leggen dan we tot nu toe hebben gedaan,zeker gezien de opkomst van kunstmatige intelligentie (AI). Die zal namelijk steeds meer worden  ingebakken in onze dagelijkse gebruiksvoorwerpen.

Kiezen voor winst of voor continuïteit en samenleving

Data zijn de motor van de nieuwe, sterk gedigitaliseerde wereld. Het is niet vreemd dat veel techbedrijven deze kansen benutten. Zij hebben nieuwe businessmodellen ontwikkeld om zoveel mogelijk waarde uit data te kunnen halen. Met de opkomst van kunstmatige intelligentie moeten we met enige urgentie het onderwerp van ‘surveillance capitalism’ op de politieke en maatschappelijke agenda zetten. Gezien de ontwikkeling in fintech, de gezondheidszorg, op het gebied van zelfrijdende auto’s en smart cities, worden data steeds belangrijker. Moeten we dan maar toestaan dat uit bedrijfsbelang persoonlijke gegevens worden gebruikt? En wat vinden we ervan als bedrijven hierin de spelregels dicteren? 
De gevolgen van deze economische ontwikkelingen zijn niet alleen van economische, maar ook van sociologische en politieke aard.  Daardoor kunnen ze de democratie in onze samenleving ondermijnen. We hebben gezien hoe digitale platforms worden gebruikt voor slechte doeleinden.  Denk aan het gebruik van Facebook om gericht de verkiezingen te beïnvloeden. Het gebruik van geautomatiseerde algoritmen maakt het monitoren van misbruik van gegevens nog moeilijker inzichtelijk voor toezichthouders. Om onze gegevens te kunnen beschermen moeten we de lat hoger leggen dan we tot nu toe hebben gedaan. Wat de nieuwe spelregels zijn voor de datagestuurde economie, is een van de belangrijkste kwesties waar beleidsmakers vandaag de dag mee te maken hebben. De kern van deze discussie bestaat uit de fundamentele vragen: wie bezit en controleert onze gegevens? En met welk doel?

Controle gebruik persoonsgegevens naar de consument

Ieder individu heeft recht op het eigendom van zijn eigen gegevens en de controle hierop. Daarom moeten databescherming en dataveiligheid voorop staan. Privacy moet bij het ontwerp van ieder product of dienst zijn ingebed. De AVG zegt dat die monitoring en controle mogelijk moeten zijn.Het is echter aan de ontwerpers van nieuwe producten en diensten dit in te vullen en aan de wet- en regelgevers te zorgen dat bedrijven bij nieuwe technologische ontwikkelingen   telkens die invulling blijven geven.
We moeten er daarom naar streven databeveiliging naar een hoger niveau te tillen. We moeten ons houden aan strenge regels rondom privacy. Verantwoordelijke en evenwichtige handhavingsmechanismen, die de consumenten in staat stellen te profiteren van geavanceerde technologieën, moeten we toejuichen. Bij de AVG bijvoorbeeld wordt het eenvoudiger om gegevens aan bedrijven te verstrekken, maar ook om de toestemming daarvoor weer in te trekken. De volgende stap is dat overheden mechanismen opzetten, die controleerbaar zijn voor betrokkenen. om bestaande regels strenger op te volgen en misbruik van gegevens te voorkomen.. Het is de hoogste tijd voor een stevige discussie tussen wereldwijde beleidsmakers en de technologiesector om te bepalen hoeveel regelgevend toezicht er eigenlijk nodig is om zowel de privacy te beschermen als innovatie en concurrentie aan te moedigen.

 Wat betekent dit voor jouw organisatie?

Privacy negeren als organisatie wordt maatschappelijk gezien steeds minder aanvaardbaar en vormt dus een bedrijfsrisico. (Zie ook ‘Privacy volgens de AVG is geen moeten maar willen’). Mede door het massale gebruik van social media loop je al gauw forse reputatieschade op wanneer consumenten slachtoffer worden van jouw laksheid. Anderzijds moet privacy natuurlijk wel  behapbaar blijven voor je organisatie. Het gaat tenslotte om risicobeheersing. Voor grotere organisaties zijn de risico’s nu eenmaal groter, doordat ze grotere bestanden met persoonsgegevens hebben. Daarnaast zijn er natuurlijk branches die extra gevoelig zijn, doordat ze van betrokkenen veel of bijzondere gegevens vastleggen. Denk aan overheden, scholen, zorginstellingen etc. De AVG onderkent dit en verplicht deze organisaties om een Privacy Officer aan te stellen. Voorts zijn er ook verwerkers die grote of gevoelige databases van hun klanten beheren. Bij hen gaat het echter meer om de beveiliging van deze bestanden en dus om een ISO 27001 of een NEN 7510 certificaat. (Zie ook ‘De gevolgen van de AVG 2018 voor bewerkers’).
Voor grote organisaties is het hebben van een Privacy Officer geen probleem. Daar is het vaak een fulltime functie. In kleinere organisaties is dit meestal een nevenfunctie. Vaak blijkt dan dat er onvoldoende tijd beschikbaar is om goed op de hoogte te blijven en daar ook te weinig prioriteit aan wordt gegeven  . Vaak is het handig en vooral ook voordelig om een externe Privacy Officer in te huren, voor wie dit wel een fulltime job is. Bovendien toon je zo ondubbelzinnig aan dat je privacy serieus neemt. Dat ligt een stuk moeilijker wanneer je een interne Privacy Officer hebt, die privacy ernaast doet. (Zie ook ‘Kies je voor een Privacy Officer of voor een Functionaris Gegevensbescherming – FG’).
Bovendien weet die externe Privacy Officer beter wat zijn taak is en zal hij niet zo snel vervallen in het opzetten van een papierwinkel. Want daar is niemand bij gebaat.

Kortom, zorg dat privacy ook na mei 2018 een continu aandachtspunt blijft. Niet vanwege de boete, maar omdat je klanten en/of ketenpartners dit van je verwachten. Dit vertrouwen mag je niet beschamen. Een Privacy Officer speelt hierin een belangrijke rol, zelfs als je niet verplicht bent er een te hebben.

Via coaching ondersteunt ZBC organisaties om hun privacy op een pragmatische wijze in te vullen of een ISO 27001 of NEN 7510 certificaat te halen. Ook geeft ZBC cursussen over privacy en informatiebeveiliging
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 8 augustus 2018


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *