Eenvoudiger voldoen aan de AVG/GDPR door een pas op de plaats te maken

Per 1 mei 2018 is de nieuwe privacywetgeving, de General Data Protection Regulation (GDPR) of in normaal Nederlands de Algemene Verordening Gegevens Bescherming (AVG) van kracht. Steeds meer bedrijven raken hiervan in de stress, mede geholpen door advocaten, consultants en bedrijven die baat hebben bij klanten in de stress.

Er wordt volop aangespoord om in relatieve tijd heel veel werk te gaan verzetten omdat volgens de angstzaaiers:

  • De nieuwe wetgeving een enorme verandering is;
  • Je je aan de letter(s) van de wet moet houden
  • waarmee je heel veel maatregelen, procedures op zijn plek moet hebben,
  • om torenhoge boetes te voorkomen

Dat is onzin. Om niet heel veel werk te verzetten om aan de wetgeving te voldoen kun je het beste een pas op de plaats maken en begrijpen waar het echt om gaat.

De wetgeving verandert niet heel sterk. Op dit moment is de Wet Bescherming Persoonsgegevens van kracht. Er zijn verschillen (verbeteringen) in de nieuwe wetgeving, maar je hoeft om te voldoen aan de wet niet ineens alles om te gooien of heel veel meer te doen.

De meldingsplicht voor datalekken is bijvoorbeeld nu al van kracht, maar wordt regelmatig genoemd als zijnde iets dat je nu moet inrichten vanwege de nieuwe wetgeving om hoge boetes te voorkomen. Waarom nu ineens stress om iets in te regelen dat volgens de huidige wetgeving ook al moet?

Het risico op torenhoge boetes is niet groot. De kans dat je als bedrijf onder de aandacht van de Autoriteit Persoonsgegevens komt is niet zo groot. Wanneer je kijkt naar het risico (= impact x kans) dan is de kans in veel gevallen laag.

De Autoriteit Persoonsgegevens heeft niet genoeg mankracht om elk bedrijf te onderzoeken, toetsen en waarschuwen. Ben je een groot bedrijf dat grootschalig persoonsgegevens verwerkt met grote risico’s op impact op de persoonlijke levenssfeer van mensen en verricht je activiteiten in het aandachtsgebied van de Autoriteit Persoonsgegevens dan is het risico groter dat de Autoriteit Persoonsgegevens een onderzoek start.

Start de Autoriteit Persoonsgegevens een onderzoek dan kan de conclusie zijn dat je niet niet aan de wetgeving voldoet. Je krijgt dan een waarschuwing en de tijd om dit te repareren.

Er komt niet zomaar de maximale boete van 4% van je omzet uit de lucht vallen. Op dit moment is de maximale boete overigens al 820.000 euro.

Boetes zijn overigens niet het enige risico dat je loopt. Wanneer het misgaat op privacygebied dan kan er impact zijn op imagoschade, schadeclaims en verlies van klanten. Dat risico is nu ook al aanwezig en verandert niet zozeer met nieuwe wetgeving.

Pas niet allemaal maatregelen toe om aan de letter van de wet te voldoen. Je hoeft niet volledig compliant te zijn aan de de wetgeving. Het gaat om de intentie van de wetgeving en die intentie is het mensenrecht op privacy beschermen. Het is in eerste instantie van belang dat je (kunt laten zien dat je) privacy belangrijk vindt, de risico’s afweegt en passende maatregelen neemt die dagelijks in de organisatie toegepast worden.

Dat betekent dat het voor de wetgeving en de Autoriteit Persoonsgegevens belangrijk is dat het bedrijf serieus aandacht aan privacy besteed, er gekeken wordt naar risico’s die verwerkingen met zich meebrengen en er een afweging van belangen van het bedrijf en personen gemaakt wordt om juiste maatregelen toe te passen.

Een privacybeleid en/of securitybeleid waarmee de CEO het belang van privacy (voor verschillende stakeholders) afweegt en communiceert binnen de organisatie, risicobeoordeling, een plan om te verbeteren en deze zaken in de organisatie te borgen zijn de stappen die je moet nemen om te kunnen aantonen dat je privacy serieus neemt. Die stappen zijn belangrijker dan 101 beveiligingsmaatregelen, procedures, documenten op zijn plaats te hebben om aan de letters van de huidige en aankomende wetgeving te voldoen.

Een recent onderzoek van de Autoriteit Persoonsgegevens (AP) naar BrainCompass maakt dit mooi inzichtelijk.

Deze week publiceerde de Autoriteit Persoonsgegevens (AP) “Verwerking bijzondere persoonsgegevens door BrainCompass in strijd met privacywet”.

BrainCompass is een assessment-platform dat bijzondere persoonsgegevens verwerkt, waaronder gegevens over gezondheid, DNA en psychologische gegevens. Het rapport van de AP is zeer lezenswaardig.

BrainCompass had een hoog risico om onder de aandacht van AP te komen. Ze hebben de bingokaart met aandachtsgebieden van AP bijna vol. Aandachtsgebieden van AP in 2016 waren beveiliging van persoonsgegevens (check), big data & profiling (check), medische gegevens (check), persoonsgegevens bij de (digitale) overheid en persoonsgegevens in de arbeidsrelatie (check!). AP heeft nog geen boete gegeven; waarschuwt nogmaals dat als overtredingen voortduren ze van plan zijn tot handhaving over te gaan.

De belangrijkste conclusies die de AP trekt (buiten conclusies op basis van wetteksten) zijn dat BrainCompass een aantal wettelijke verplichtingen onvoldoende in het proces gewaarborgd heeft en dat passende technische en organisatorische beveiligingsmaatregelen ontbreken.
Het ontbreken van een beveiligingsbeleid en risico analyse zijn hier voor AP de belangrijkste tekortkomingen, want zij vormen de basis van de beveiliging van persoonsgegevens.

Dankzij de reactie van BrainCompass wordt duidelijk hoe BrainCompass de essentie van wetgeving en informatiebeveiliging niet vat. Het bedrijf vervalt in de hoeveelheid maatregelen die ze genomen hebben:

Extra informatiebrochures, vernieuwde Algemene Voorwaarden en Privacy Code, implementeren van een opt-in systeem, verbeterde informatie over specifieke gegevensverwerkingen gedurende het proces, het maken van extra videomateriaal, in kaart brengen van gegevens die verwerkt worden, veranderingen in processen, anonimiseren van data, pseudonimiseren van data, beschrijving van beveiligingsmaatregelen, externe PEN tests, toegangscontrole, etc. etc.

Het BrainCompass verhaal lijkt hier exemplarisch voor de reactie van vele bedrijven en lijsten met maatregelen die je volgens ICT en juridische specialisten moet nemen om aan letters van de aankomende wetgeving te voldoen.

Je kunt proberen om heel veel werk te verrichten om je organisatie, processen en maatregelen om te gooien om aan de letter van de wet te voldoen of je kunt niets doen en het risico accepteren. Maar om je echt voor te bereiden om de GDPR / AVG kun je het beste eerst op een goede manier beginnen met het opstellen en invoeren van een privacybeleid en risicobeheersing en van daaruit passende maatregelen selecteren, invoeren en borgen.
Een praktisch ingestelde ISO27001 consultant of goede privacymanagement expert kon en kan BrainCompass een hoop werk en problemen helpen voorkomen.

Privacy by design, wel een nieuwe vereiste in de aankomende wetgeving begint op organisatieniveau. Pas je dit niet goed toe dan denk je wellicht volledig aan de wet te voldoen, maar loop je onverminderd risico op een boete. Maak dus eerst die pas op de plaats en verzuip niet in alleen maatregelen.

Mijn afscheid van Gmail en overstap naar Protonmail

Ik heb (eindelijk) besloten afscheid van Gmail (Google) te nemen. En iedereen zou hetzelfde moeten doen, inclusief afscheid nemen van Outlook.com of andere privacy inbrekende e-mail aanbieders die persoonlijke data, de inhoud van jouw e-mails, als verdienmodel hanteren. Hiermee neem je direct een enorme stap in de verbetering van je privacy.
Doorgaan met het lezen van “Mijn afscheid van Gmail en overstap naar Protonmail”