ZBC Kennisbank

Vertrouwen dat de privacy wel goed geregeld zal zijn

 

Zakendoen is gunnen. Een gezond verstand, referenties, persoonlijke indruk en een goede offerte zijn in de regel de ingrediënten voor een goede leveranciersrelatie. En zolang alles goed gaat, werkt dat prima. Maar wat, als er iets fout gaat? Wanneer loont het om worst case scenario’s door te nemen in de keten?

Met de meldplicht datalekken heeft het begrip ketenaansprakelijkheid zijn intrede gedaan in de dienstverlening waar persoonsgegevens worden verwerkt. Een klant verwacht van zijn leverancier, dat hij zich houdt aan afspraken en die afspraken heeft doorvertaald naar eisen aan zijn toeleveranciers. Als iedereen dus netjes op tijd de bewerkersovereenkomsten heeft laten tekenen, is het geregeld, toch? Er wordt dan op papier voldaan aan de eisen. De wet eist wel, dat we de naleving ook controleren, maar we vertrouwen toch onze zakenpartners? Helaas is de praktijk weerbarstiger.

Voeren van papieren tijgers?

Het is weliswaar dan wel op papier geregeld, maar hoe zit het in de praktijk? Organisaties die gebaseerd zijn op vertrouwen en het onderhouden van goede relaties plus een goede prijs-kwaliteitverhouding hebben doorgaans bestendige overeenkomsten en dito uitvoering. Ze hanteren allemaal dezelfde moraal en beroepsethiek. Natuurlijk ben je als ondernemer risicobewust en de keuze om je ketenpartners te vertrouwen, heb je bij je volle verstand gemaakt. Krijg je dit echter ook over de bühne bij een meer technocratisch ingestelde inkoper of jurist (of steeds vaker Privacy Officer) van je afnemer? Je moet je dat zeker afvragen als het gaat om wat grotere organisaties met andere normen en waarden. Zouden die dit accepteren? Waarschijnlijk niet. Dan moet je dus het antwoord vinden op de vraag: “Hoe kan ik aan de eisen van mijn afnemer voldoen met de minste inspanning?”

Aannames zijn de moeder van alle blunders

Je uitgangspunt is natuurlijk klanten behouden en nieuwe klanten aantrekken. Maar een ander uitgangspunt is waarschijnlijk kwaliteitszorg: het leveren van een goede kwaliteit tegen een scherpe prijs. Het is bekend dat goedkoop duurkoop is. Ergens echter moet een optimaal punt liggen, waarbij je zowel een tevreden klant als een betrouwbare leverancier hebt, als ook een goede marge in stand houdt. Dat optimum moet je bepaald hebben. Je klant eist een fatsoenlijke overeenkomst met garanties. Hij eist dat hij jou aansprakelijk kan stellen als je een stommiteit uithaalt. Dat vind je natuurlijk volkomen terecht, zolang dat niet buitenproportioneel is. Als je klant met een omzet van 100M echter een schade lijdt van 1% en jou dus aansprakelijk stelt voor 1M, dan heb je een probleem. Je hebt dat probleem ook, als de stommiteit is uitgehaald door één van je toeleveranciers. Dat je dacht, dat ze het voor elkaar hadden, daar heb je op zo’n moment niets aan. Een fout waarbij ‘de persoonsgegevens van je klant op straat zijn komen te liggen’ is niet te herstellen. Dus rest er maar één ding: je moet op jouw beurt je toeleverancier ook weer aansprakelijk kunnen stellen.

Aansprakelijk stellen is minder erg dan het lijkt

Een business partner aansprakelijk stellen voor zijn fout is iets wat in het woordenboek van de gemiddelde ondernemer niet voorkomt. Je vertrouwt je partners en dan moet zoiets niet nodig zijn.
Helaas is het dat wel. Want in het geval van het voorbeeld van het datalek, dreigt de boete van de Autoriteit Persoonsgegevens. Die komt bij je klant terecht, tenzij hij heeft geregeld dat hij jou aansprakelijk kan stellen. En als jij niet geregeld hebt, dat jij je business partner op jouw beurt aansprakelijk kunt stellen, dan komt de boete bij jou terecht. Dus moet je dat wel regelen, om te vermijden dat een boete voor de overtredingen die niet jij hebt begaan hebt, toch op je bordje terecht komt.
Kan je business partner onder die boete uitkomen? Zeker wel. De privacywet zegt niet, dat er nooit een datalek mag plaatsvinden. (Zie ook ‘Hoe legaal de privacywet overtreden’.) De wet eist wel dat je je zaakjes voor elkaar hebt. En hoe je dat regelt, staat in diezelfde wet. Als je klant persoonsgegevens door jou laat bewerken, dan moet er een bewerkersovereenkomst zijn en de naleving daarvan moet hij controleren. Voor jou geldt hetzelfde. Als je die persoonsgegevens ergens opslaat in een datacenter, moet je een bewerkersovereenkomst hebben met dat datacenter en moet je de naleving controleren.

Moeten we onze business partners controleren?

We vertrouwen onze business partners. Moeten we ze dan ook nog controleren? Dat vinden ze helemaal niet leuk. Ze zijn veel te bang, dat als ze je in hun keuken laten kijken, je hun kunstje afkijkt, een volgende keer zelf dat kunstje gaat doen en hen dan niet meer nodig hebt. Ze zijn bang dat ze zo een concurrent van zichzelf in het zadel helpen. En dat geldt natuurlijk ook voor jezelf. Je helpt je klanten met plezier. Dat betekent immers omzet. Maar je gaat er echt niet aan meewerken ze in jouw keuken te laten kijken. Je laat ze misschien nog wel die dingen zien, waarvan je vindt dat ze die mogen zien, maar ergens houdt het op. Ze hoeven bijvoorbeeld je vuile was niet te zien. Die hang je liever niet buiten. Bovendien zit je er niet op te wachten, dat al je klanten jaarlijks langs komen voor zo’n controle. Dat kost je veel te veel tijd (en dus geld). Toch eist de wet controle op de naleving.
Maar gelukkig kun je dat ook anders regelen. Wanneer je voldoet aan de ISO 27001 of NEN 7510 norm voor informatiebeveiliging en gecertificeerd bent, dan word je jaarlijks onafhankelijk gecontroleerd op naleving. Wanneer je de bewerkersovereenkomst met je klant hierop afstemt, heeft je afnemer voldaan aan zijn verplichting om de naleving te controleren.

Is het halen van zo’n certificaat moeilijk?

Voor grotere organisaties met veel consumenten of klanten is het halen van een certificaat vaak redelijk complex. Voor kleinere bewerkers in de keten valt dit echter enorm mee. Die hebben in feite maar twee echte bedrijfsrisico’s die ze moeten afdekken. (Zie ook ‘Checklist risicoanalyse informatiebeveiliging ISO 27001 en NEN 7510’.) Vervolgens moeten ze dit uitwerken in maatregelen en moeten ze inregelen dat ze in control zijn. Dat is doorgaans geen probleem voor bedrijven met een directie waarvan de leden tevens eigenaar zijn van het bedrijf. Het feit dat ze nog bestaan geeft immers al aan, dat ze in control zijn. Het probleem zit doorgaans in het aantoonbaar maken van het in control zijn. Maar dat valt te regelen zonder een papierwinkel op te tuigen. In het artikel ‘Binnen drie maanden een ISO 27001 certificaat halen’ wordt dit verder beschreven. De kosten van zo’n traject bedragen (inclusief de certificeringsaudit) doorgaans rond de 10K. Het hoeft ook niet veel impact te hebben op de uitvoering van je bedrijfsprocessen. Zolang je maar uitgaat van de manier waarop je het op dit moment al doet. En je hebt je zaakjes op orde. Het is immers niet voor niets dat allerlei afnemers juist met jou zaken willen doen!

Vertrouwen moet je dus verdienen

Ondanks het voorgaande wil je in de toekomst ook nog steeds werken op basis van vertrouwen. En voor vertrouwen geldt het wederkerigheidsprincipe: ‘Als je mij flikt, dan pak ik je terug’. En dan krijg je dus dat gedoe met aansprakelijkheid en juridisering. Dat wil je toch voorkomen. Daarom is vertrouwen ook iets, dat je moet verdienen. Geef ketenpartners een reden om juist jou te vertrouwen. Als je al doet wat je zegt, dan is dit niet moeilijk. Je moet het dan alleen nog aantoonbaar maken. En dan is het gemakkelijker om dit eens per jaar aan een auditor aan te tonen dan vele keren per jaar aan je klanten, die hier anders toe verplicht zijn. Of vind je het redelijk dat je klant een boete krijgt voor stommiteiten die jij uithaalt?

ZBC helpt organisaties via coaching of cursussen om hun privacy en informatiebeveiliging conform ISO 27001 of NEN 7510 te verbeteren en desgewenst daarvoor gecertificeerd te worden.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur: Wiebe Zijlstra | 10 februari 2017


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *