ZBC Kennisbank

Juristen hebben bedrijven met de AVG op een dwaalspoor gezet

 

Juristen hebben de afgelopen jaren bedrijven schrik aangejaagd, door torenhoge boetes te voorspellen, als men niet zou voldoen aan de AVG. Ze hebben hier goud geld mee verdiend en bedrijven op kosten gejaagd. Ze werden gesteund door de media, waardoor ze vrij spel kregen om hun boodschap te verspreiden. Maar waar het in de AVG echt om gaat, snapten ze in feite niet.

Natuurlijk gingen ze uit van de letter van de wet en niet van de context waarvoor de wet is bedoeld. De Wet bescherming persoonsgegevens (Wbp) heeft bijna twintig jaar bestaan, en was uiteindelijk op diverse punten verouderd. En dan met name als het ging om de technologische vooruitgang. Hierin voorzag de oude Wbp niet. De essentie van de nieuwe wet echter, dat je zorgvuldig om moet gaan met privacy, is nagenoeg gelijk aan die van de Wbp. De Wbp bevatte dezelfde grondslagen en eisen.
In de 20 jaar dat de Wbp bestond, is hier echter niet of nauwelijks op gehandhaafd. Zo is het ontbreken van een beleid of van een bewerkersovereenkomst al 20 jaar strafbaar. En dat geldt voor veel meer zaken. Maar ineens is daar nu veel aandacht voor. De bescherming van gegevens, en zeker daar waar sprake is van grote bestanden, blijft echter op die manier buiten beeld. De juristen hebben daar ook geen verstand van. De nieuwe wet heet echter wel: de General Data Protection Regulation (GDPR), al is dit in de vertaling naar AVG er op het eerste gezicht uitgefilterd. Maar dat doet uiteraard niet ter zake.

Administratief op orde maar zo lek als een mandje

Gevolg is dat bedrijven nu al die zaken die al 20 jaar eigenlijk onbelangrijk zijn, volgens de juristen op orde moeten hebben. En dan ontstaat een papieren tijger van formaat, terwijl de bescherming van gegevens niet verbetert. Sterker nog, de beveiliging is zelfs een aantal jaren op een laag pitje gezet, omdat de beschikbare capaciteit nodig was voor de invoering van de AVG. En door de ontwikkeling van de cybercrime is de achterstand alleen nog maar groter geworden, als het gaat om informatiebeveiliging. Tel hierbij op de aanpassingen aan applicaties. Er moest immers voor gezorgd worden dat alle gegevens van één persoon met één druk op de knop verzameld of verwijderd moeten kunnen worden, iets dat de AVG niet eens eist. (Zie ook ‘Het recht om vergeten te worden in de AVG’.) Hiermee ontstond een handige functie voor onbevoegden binnen en buiten het bedrijf. Laatst was Barbie hiervan nog het slachtoffer. In het Haga ziekenhuis konden tientallen medewerkers haar dossier eenvoudig inzien. Vervolgens werd deze inbreuk conform de meldplicht wel gemeld, maar wat heeft Barbie daar als betrokkene aan? Veel belangrijker was de vraag hoe dit voorkomen had kunnen worden. (Zie ook ‘Datalek is vaak juist geen menselijke fout’.)
De beveiligingseisen waarmee verwerkers door de verplichte verwerkersovereenkomst ineens geconfronteerd worden, zijn maar een klein deel van de oplossing. Veel vooral grotere bedrijven hebben namelijk een groot deel van hun applicaties nog in huis draaien.

Niet het MKB maar juist grote bedrijven voldoen niet aan de AVG

Momenteel zien we allerlei publicaties over het MKB, dat nog niet zou voldoen aan de AVG. Het zijn de juristen, die dit roepen. Maar het MKB is wel wijzer. MKB-bedrijven hebben allang de belangenafweging gemaakt en de risico’s bepaald. (Zie ook ‘AVG is vooral een afweging en geen verplichting’.) En deze risico’s zijn laag. Want vaak hebben ze maar heel weinig gegevens van hun klanten en dus zullen zij doorgaans ook niet het slachtoffer worden van criminaliteit. De belangrijke bestanden hebben ze veelal ondergebracht bij een partij die goed zorgt voor de veiligheid. Bovendien werken veel MKB-bedrijven B2B en dan heb je maar weinig te maken met natuurlijke personen. (Zie ook ‘Je hebt minder persoonsgegevens in huis dan je denkt’.)
Bovendien kunnen ze zich beroepen op ‘Overweging 4’ van de AVG, waarin staat: “De verwerking van persoonsgegevens moet ten dienste van de mens staan. Het recht op bescherming van persoonsgegevens heeft geen absolute gelding, maar moet worden beschouwd in relatie tot de functie ervan in de samenleving ….” Hebben de juristen dit hun klanten verteld?
Het grootste probleem van MKB-bedrijven is, dat ze niet kunnen aantonen dat ze keuzes hebben gemaakt en welke keuzes. En juist dat is wel een nieuwe, belangrijke eis van de AVG.
Voor de meeste grote bedrijven geldt, dat ze door de bomen het bos niet meer zien, niet meer zien dat het gaat om de bescherming van hun persoonsgegevens. Daar draait het om in de AVG of beter gezegd in de GDPR.

Hoe bescherm je je persoonsgegevens?

Om je persoonsgegevens te beschermen, bepaal je eerst welke gegevens je eigenlijk hebt van natuurlijke personen en of het voor de betrokkenen erg is als je deze verwerkt conform de missie van je organisatie. Meestal is dit in het belang van vooral de betrokkene. Dus meestal heeft de betrokkene belang bij jouw verwerking van zijn persoonsgegevens. Dat er af en toe wat gegevens gemorst worden, is misschien wel vervelend, maar niet echt erg! Uiteraard is het niet uit te leggen als complete bestanden op straat komen te liggen. Zorg er dus voor dat je informatiebeveiliging op orde is.
Het gaat daarbij natuurlijk niet alleen de technische beveiliging. Ook zaken als logische toegangsbeveiliging en de toepassing van logische principes zijn daarbij belangrijk. (Zie ‘Informatiebeveiliging is helemaal niet zo moeilijk’.) Logische principes zijn:

  1. Gegevens die je niet hebt, hoef je ook niet te beveiligen, dus gegevens:
    a) weggooien
    b) archiveren
    c) pseudonimiseren
  2. Scheid gegevens:
    a) identificerende gegevens van de gegevens over de persoon;
    b) vertrouwelijke data in datacenter;
    c) geen lokale verwerking van data;
  3. Sleep niet met vertrouwelijke data.
    a) niet kopiëren (mailen, printen, USB-stick etc) ;
    b) gecontroleerd toegang geven.

En last but not least: “Leer van je fouten”. Dat betekent dat je niet alleen een incident netjes afhandelt, maar ook dat je zo nodig maatregelen neemt om het incident in de toekomst te vermijden, tenminste als het ‘erg’ is.
En doe vooral niet krampachtig als het gaat om beveiliging. 100% beveiliging bestaat niet en dat moet je ook niet willen. Het hangt af van hoe erg een gebeurtenis is, of je er iets aan wilt doen. Laat je vooral niet gek maken door doemscenario’s. (Zie ook ‘Techneuten vaak het probleem bij informatiebeveiliging’.)

Via coaching ondersteunt ZBC organisaties om hun privacy op een pragmatische wijze op orde te krijgen of een ISO 27001 of NEN 7510 certificaat te halen. Ook geeft ZBC cursussen over privacy en informatiebeveiliging.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 8 juni 2018


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *