ZBC Kennisbank

Bewerker is kind van de rekening van de AVG

 

Het is langzamerhand wel duidelijk dat de Autoriteit Persoonsgegevens totaal niet in staat is de AVG te handhaven. Ook zullen hoge boetes voor de meeste bedrijven door rechters als buitenproportioneel beschouwd worden. De dreiging voor partijen die verantwoordelijk zijn voor persoonsgegevens is hiermee aanzienlijk afgenomen. En er is voldoende laaghangend fruit, dat zij graag plukken.

Om reputatieschade te voorkomen, zullen verantwoordelijken voor persoonsgegevens wel moeten  laten zien dat ze de AVG serieus nemen. Maar ze kunnen dit eenvoudigweg doen door eisen te stellen aan hun bewerker en tegelijkertijd  de lasten van de naleving uitbesteden aan die bewerker. De bewerker moeten voldoen aan de eisen zoals die zijn vastgelegd in de bewerkersovereenkomst. En het doet de verantwoordelijke geen pijn de lat voor bewerker hoog te leggen. Ook de controleplicht kan de verantwoordelijke eenvoudig bij de bewerker neerleggen, door te eisen dat deze ISO 27001 (of in de zorg NEN 7510) gecertificeerd is.
Ben je als bewerker niet gecertificeerd, dan kun je dus straks wel vergeten dat je nog meedoet bij aanbestedingen van klanten, die zich willen indekken en/of die gevoelig zijn voor reputatieschade, zoals (semi) overheden, de financiële sector, de zorg en grotere organisaties. Kortom, de verantwoordelijke organisaties eisen van hun toeleveranciers een ISO 27001 of NEN 7510 certificaat. Voldoe je daaraan niet als bewerker, dan sta je buitenspel. En zo is de bewerker het kind van de rekening.

Overzicht hoe de hazen lopen

Laten we even op een rijtje zetten wat er aan de hand is met de handhaving door de Autoriteit Persoonsgegevens (AP). Naar schatting wordt er dagelijks tientallen malen een inbreuk gemaakt op jouw en mijn privacy. Denk aan bewakingscamera’s, pasjessystemen, het tracken van je mobiel, tracking cookies op internet enzovoort. Dat betekent dat er jaarlijks 100.000.000.000 inbreuken op de privacy plaatsvinden in Nederland. Het is duidelijk dat de AP met 70 mensen hiervan maar een fractie kan onderzoeken en dat de pakkans voor overtredingen minimaal is. Het risico dat je vanwege een administratieve overtreding tegen een boete op loopt, is dus verwaarloosbaar. Het is dan ook niet te verwachten, dat de AP dit soort overtredingen aanpakt.
En laten we wel wezen, respecteer je al niet jaren lang de privacy van degenen, voor wiens persoonsgegeven je verantwoordelijk bent? Je hebt er immers helemaal geen geen belang bij inbreuk te maken op hun persoonlijke levenssfeer of hen schade te berokkenen. En die inbreuk en schade zijn nu precies wat de AVG wil voorkomen.
Wat is er dan gemakkelijker om de hete aardappel door te spelen aan bewerkers? Je laat daarmee tenslotte zien, dat je de AVG serieus neemt en de lasten van de naleving zijn voor de bewerker. Ook die zal niet zo gauw een boete krijgen. Maar die loopt wel een ander risico, namelijk het risico klanten kwijt te raken of nog waarschijnlijker, het risico geen nieuwe klanten meer binnen te halen.

Wat moeten verantwoordelijken dus doen?

Verantwoordelijken zijn dus meestal snel klaar. Maar natuurlijk moet je als verantwoordelijke wel weten wat je precies moet doen. Een aanpak zoals beschreven in het artikel ‘Je privacy op in twee maanden op orde voor de AVG’ is meestal voldoende. Het grote voordeel van deze aanpak is dat je nalevingskosten minimaal zijn. Nalevingskosten voorkom je door procedures te vermijden. Ga daarom uit van wat je nu al doet. Zorg wel dat je de belangenafweging en de keuzes die je hebt gemaakt om te kunnen werken zoals je nu al doet zichtbaar maakt. Dat is dus allemaal laaghangend fruit. In de ‘Cursus Privacy Officer in de praktijk’ leer je wat precies laaghangende fruit is en hoe je dit gemakkelijk kunt plukken.

Wat moeten bewerkers dus doen?

Als bewerker heb je weinig keuze. De klant is koning en als die klant eist, dat je gecertificeerd bent om in aanmerking te komen voor opdrachten, dan is het kiezen of delen. (Zie ook ‘De gevolgen van de AVG 2018 voor bewerkers’.)
Gelukkig is het behalen van zo’n ISO 27001 of NEN 7510 certificaat niet zo kostbaar en tijdrovend meer. De norm is tegenwoordig risk based en het risico is evident: klanten willen niet dat hun persoonsgegevens door jouw schuld op straat komen te liggen.
Je bakent de scope voor het certificaat als volgt af: de dienstverlening aan klanten, waarbij jij verantwoordelijk bent voor de bewerking van data van de klant. Meestal zijn deze al goed beveiligd. Met deze scope voorkom je, dat je ook allerlei interne data moet beveiligen. Het grootste probleem is doorgaans om aan te tonen dat je veilig bent. De uitdaging daarbij is, een papierwinkel te voorkomen. Een dergelijke aanpak is beschreven in het artikel ‘Binnen drie maanden een ISO 27001 certificaat halen’. Bij deze aanpak pas je je organisatie niet aan aan de norm, maar je legitimeert je huidige werkwijze volgens de norm. Meestal is er dan nog slechts een zeer beperkt aantal verbeterpunten nodig om het certificaat te behalen. Sedert december 2017 is deze aanpak ook bruikbaar voor de NEN 7510. (Zie ook ‘Pragmatische invoering nieuwe NEN 7510:2017 nu ook voor kleinere zorginstellingen’.)

Is de AVG spannend voor jou?

De AVG is dus niet zo spannend als je even je verstand gebruikt en niet te veel luistert naar die juristen en consultants die graag geld van je verdienen door de dreiging van de AVG sterk op te kloppen. In de praktijk valt het allemaal wel mee. In feite is de AVG één van de wetten die niet uitvoerbaar zijn. Pas als je klanten weglopen, heb je dus echt last van de AVG. Dat moet je voorkomen en dat geldt vooral voor bewerkers. Zij zullen maatregelen moeten treffen. Straks zal duidelijk worden, dat er certificaten geëist worden. Dan zul je waarschijnlijk geen 3 maanden tijd meer hebben om dit te regelen. 
Het is tevens handig iets te doen aan de bewustwording van de medewerkers. Ook dit is laaghangend fruit. Er zijn tegenwoordig allerlei online trainingen op dit gebied, die nog geen tientje per medewerker kosten. (Zie ook ‘Online training informatiebeveiliging en privacy: de human firewall’). Haalt een medewerker dan toch wat stoms uithaalt, dan kun je als organisatie in elk geval aantonen, dat je geïnvesteerd hebt in de AVG en kun je reputatieschade vermijden.
Kortom, dat de AP in mei is begonnen met het handhaven van de AVG is nauwelijks spannend. Issues als weglopende klanten en reputatieschade zijn veel belangrijker.

ZBC helpt organisaties die zich kunnen vinden in deze benadering, via coaching of cursussen om op pragmatische wijze hun privacy en informatiebeveiliging te verbeteren en om voor ISO 27001 of NEN 7510 gecertificeerd te worden.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 2 januari 2018


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *