Alle hens aan dek voor het dichten van uw datalek

De honger naar data is onstilbaar. Bedrijven als Google, Facebook en WhatsApp zijn door hun data en gebruikersprofielen miljarden waard, die onderdeel zijn van de totale bedrijfswaarde. De miljoenenboete, die Facebook thans boven het hoofd hangt voor overtreding van de Nederlandse privacywetgeving, is klein bier bij wat komen gaat. Niet alleen de internetgiganten en de techreuzen, maar het gehele (internationale) bedrijfsleven en de overheid dienen hun bedrijfsvoering en gegevensverwerking van EU-burgers vóór 25 mei 2018 in overeenstemming te brengen met de nieuwe Algemene Verordening Gegevensbescherming (AVG), gebaseerd op mammoetwetgeving uit Brussel.

De boete bij schending van privacyverplichtingen bedroeg tot 1 januari 2016 maximaal € 4.500,00. Van deze boetebevoegdheid werd weinig gebruik gemaakt. Sedert 1 januari 2016 geldt al een meldplicht datalekken (binnen 72 uur) en zijn de boetes al fors opgeschroefd tot € 820.000,00 of 10% van de jaaromzet. Onder de AVG kunnen de boetes per overtreding (!) oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, als dat meer is dan 20 miljoen euro. Grote bedrijven kunnen dan geconfronteerd worden met boete van enkele miljarden. De boetes worden dus fors hoger en sneller opgelegd, terwijl de pakkans groter wordt, (ook) omdat Europese privacywaakhonden gaan samenwerken. In de Wet Bescherming Persoonsgegevens (WBP) moest er sprake zijn van opzet of grove schuld, maar deze bepaling wordt geschrapt.

Databeveiliging en privacybescherming dienen topprioriteit te krijgen. Te denken valt aan het verwerken van bijvoorbeeld gegevens van sollicitanten, werknemers, contactgegevens van klanten of toeleveranciers etc., maar ook aan verlies van USB-sticks met daarop persoonsgegevens, het per ongeluk lekken van data, bijvoorbeeld het automatisch aanvullen van e-mailadressen, waardoor een mailtje naar de verkeerde persoon wordt gestuurd, een brand in een datacenter, een werknemer die gegevens uit de personeelsadministratie downloadt zonder daartoe bevoegd te zijn, een zorginstelling met rondslingerende patiëntendossiers en e-commerce-ondernemingen, die zonder toestemming persoonsgegevens doorverkopen of ongevraagd persoonlijke gegevens van sociale media als LinkedIn of Instagram halen om daarmee klanten te werven.

De “Nowhere Man” van The Beatles werd 50 jaar geleden geadviseerd zich geen zorgen te maken, de tijd te nemen, zich niet te haasten en af te wachten totdat iemand de helpende hand zou toesteken. Voor deze “nergensman” breken er betere tijden aan. Het Europese Hof van Justitie werkt aan omvangrijke jurisprudentie over de bescherming van de privacy, onder meer door de EU-burger het recht te geven om vergeten te worden in de zoekmachine van Google.

Het bedrijfsleven en overheden staan de komende maanden voor nieuwe uitdagingen, waarbij te denken valt aan een nieuwe documentatieplicht en de verplichte privacy-administratie, waarbij van alle data minutieus in kaart moet worden gebracht, waar zij vandaan komen, hoe zij beveiligd zijn en wie er toegang toe heeft. Bij klantbenadering moet voorafgaand een analyse uitgevoerd worden van de impact op privacy. Ook moeten concrete beveiligingsrisico’s door de werkgever in kaart worden gebracht, bijvoorbeeld door een voorafgaande Privacy Impact Assessment aan iedere verwerking van gevoelige persoonsgegevens.

Voor een deel van het bedrijfsleven wordt aanstelling van een Functionaris Gegevensbescherming (FG) verplicht, die een bijzondere rechtspositie binnen het bedrijf krijgt, onafhankelijk opereert en vergaande ontslagbescherming geniet. De FG is dan in het bedrijf verantwoordelijk voor de meldplicht, brengt processen in kaart en kan een bedrijf of instelling door de noodzakelijke aanpassingen heen loodsen.

Het recht om vergeten en niet ongewild gewogen en gemeten te worden krijgt met deze nieuwe wetgeving nadere invulling. Bedrijfsleven en overheid dienen op hun qui-vive te zijn en ervoor zorg te dragen, dat oude en overtollige data worden verwijderd en data zoveel mogelijk worden geconsolideerd op één plek. Ook als IT is uitbesteed, zal er nog het nodige gedaan moeten worden.