Management

Governance
Privacy

'Het gaat boetes regenen door privacywet'

Bedrijven realiseren zich nu pas dat ze niet op tijd begonnen zijn.

Privacy online © CC-by SA 2.0,  Perspecsys Photos (Flickr)
14 augustus 2017

Bedrijven realiseren zich nu pas dat ze niet op tijd begonnen zijn.

In het bedrijfsleven slaat de paniek toe, nu men zich realiseert wat de nieuwe privacywet gaat betekenen. Gartner verwacht dat de helft van de Nederlandse bedrijven de deadline niet haalt.

Dat meldt vandaag het Financieele Dagblad, na een rondgang onder een aantal experts op het gebied van privacywetgeving.

De boodschap die uit het artikel spreekt, is in het eerste opzicht verwonderlijk. De Algemene Verordening Gegevensbescherming is in april 2016 aangenomen door het Europees Parlement. Ook voor de stemming in het Parlement is er al ruim aandacht besteed aan de aanscherping van de eisen op het terrein van privacybescherming. En de wet voorzag in een ruime overgangstermijn van twee jaar, juist vanwege de complexiteit van de benodigde aanpassingen.

Die overgangstermijn heeft de leiding van de BV Nederland kennelijk in slaap gesust. Verschillende bronnen die het FD geraadpleegd heeft, melden dat bedrijven te laat wakker zijn geworden. 'Klanten zijn in paniek', Volgens Patrick Van Eecke, partner en hoofd van de privacypraktijk bij het advocatenkantoor DLA Piper, zijn een aantal klanten gewoon in paniek. Bart Willemsen, onderzoeker bij IT-onderzoeksbureau Gartner, denkt dat ongeveer de helft van de ondernemingen die moeten voldoen aan de verordening, niet op tijd klaar zal zijn. Die inschatting strookt met een onderzoek van PwC. Dat concludeerde begin dit jaar dat slechts 10 procent van de Nederlandse organisaties die onder de wet vallen, klaar is; met - toen - 16 maanden te gaan, zou het zeker niet alle organisaties lukken om de benodigde maatregelen op tijd in te voren. Verdonck, Klooster & Associates concludeerde een maand daarvoor in de Nationale Privacy Benchmark 2016 ook al dat er nog veel werk verzet moest worden.

Ingrijpende maatregelen

Het lijkt erop dat bedrijven zich hebben blindgestaard op de meldplicht bij inbreuk op privacygevoelige data. Dat onderdeel is in Nederland al ingevoerd. De AVG verordonneert echter ook dat privacygevoeilige gegevens niet langer bewaard worden dan nodig is. Daarna moeten ze vernietigd of geanonimiseerd worden. Dat vergt aanpassingen aan de IT-systemen die behoorlijk ingewikkeld kunnen zijn. En het vraagt ook het nodige op het terrein van data governance: je moet er ook voor zorgen dat er geen kopieën van de database c.q. overzichten blijven rondzingen in je organisatie. Een bedrijf moet bijvoorbeeld ook in stat zijn gegevens van een klant door te geven aan een ander bedrijf, als die klant daarom vraagt; ook een opgave die beslist niet eenvoudig zal zijn, zeker niet als je daarbij ook nog eens moet garanderen dat de gegevens te allen tijde beschermd zijn tegen ongeoorloofde inzage.

Bedrijven die in gebreke zijn, kunnen sancties tegemoet zien van de toezichthouders, in Nederland de Autoriteit Persoonsgegevens. Dat kan om forse bedragen gaan, tot 20 miljoen euro of 4 procent van de jaaromzet - dat verklaart ook meteen waarom er nu paniek uitbreekt in de directiekamers. Het goede nieuws is dan wel, dat de toezichthouders door onze Tweede Kamer redelijk tandeloos zijn gemaakt door ze te weinig resources toe te kennen. De Autoriteit Persoonsgegevens meldt zelf al dat ze onvoldoende toezicht kan houden op de naleving van de Meldplicht datalekken. Dat zal er bij de complexere AVG niet bete op worden. Maar toch mag je aannemen dat verschillende bedrijven in de vorm van een forse boete de rekening gepresenteerd krijgen van hun lakse opstelling bij het invulling geven aan een wet die bedoeld is om het recht op privacy te schragen.

Amerikaanse techgiganten wel klaar

Een goed excuus hebben ze ook niet. Juist de Amerikaanse IT-giganten hebben enorme investeringen gedaan om te zorgen dat ze aan de Europese wetgeving voldoen. "Dat is ook ironisch. De wetgeving komt uit Europa, maar de echte innovatie op privacygebied uit de VS", is het commentaar van Lokke Moerel,  privacy-advocaat bij het Amerikaanse kantoor Morrison & Foerster, hoogleraar in Tilburg en specialist in het Europese privacyrecht in het FD. 

Lees meer over
Lees meer over Management OP AG Intelligence
9
Reacties
Dirk Van Gasse 26 augustus 2017 13:15

Het is inderdaad zo dat als men nog niet begonnen is, het wel dringend tijd wordt. Maar het wordt ook mij echt wat teveel met al die bangmakerij. Te meer omdat publicaties van DPA's al danig nuanceren over die boetes, onder andere de ICO en de Belgische DPA.
Dat men een dataclassificatie moet maken is er ook al naast : men moet een register aanleggen van "verwerkingen" van persoonsgegevens.
De consultancies die ons overal willen "bijstaan" bv. om de data protection impact assessments uit te voeren van bestaande verwerkingen hebben waarschijnlijk de guideline WP 248 van WP 29 (de Europese DPA) hierover niet gelezen, meer bepaald pagina 11. De facturen voor de hulp die me zou geboden worden lopen op tot veelvouden van 100K.
Als dit een Belgisch artikel was, zond ik het door ter info en voor commentaar aan onze DPA. Ik vermoed dat men daar ook niet zo gediend is met dit soort gedoe.

Voor degenen die onder de Belgische DPA ressorteren : volg goed de mededelingen en de gepubliceerde templates op de site van de commissie voor bescherming van de persoonlijke levenssfeer. Er is al een aanbeveling en een template voor je register, en er volgen dit jaar nog een aantal aanbevelingen over andere aspecten.

Dirk Geeraerts, Gemalto 22 augustus 2017 11:02

Organisaties maken zich terecht zorgen over de invoering van de GDPR en piekeren erover hoe ze zich erop voor moeten bereiden. Wat blijkt? Slechts zes procent van de Europese bedrijven lijkt klaar met de dataclassificatie, terwijl dit het fundament is. Met dataclassificatie bepaal je welke data als eerst beschermd moet worden en welke data minder cruciaal is. Pieker dus niet langer, maar ga van start! 100% compliancy gaat waarschijnlijk niet meer lukken, maar je kunt nog steeds ver komen door deze zes stappen te volgen.

Begin bij het verwerven van inzicht in het juridische kader van de GDPR. Vervolgens is het belangrijk alle acties en gegevens te documenteren, stel daarna prioriteiten door dataclassificatie. De vierde stap is om te beginnen bij de topprioriteit, waarna de overige risico’s in kaart worden gebracht en gedocumenteerd. Tot slot is het belangrijk om te evalueren en vervolgens het proces te herhalen. Met dit stappenplan is er geen reden voor paniek, maar kunnen organisaties aantonen dat zij actief bezig zijn met de juiste bescherming van gevoelige gegevens van de klant.

- Dirk Geeraerts, identity en data protection expert bij Gemalto

Peter R 21 augustus 2017 07:12

Het is jammer dat AG in plaats van goed te informeren, steeds vaker met dit soort bangmakerij komt. Juist van een "automatiseerder" zou ik een fatsoenlijk onderbouwd artikel verwachten, niet verstoord door de waan van de dag.

Norman 17 augustus 2017 12:50

Het grote verschil met de WBP en de AVG is natuurlijk wel de omvangrijke boetes die voor het minste of geringste uitgeschreven kunnen worden, die de AP dan zou kunnen gebruiken om zijn organisatie uit te breiden.

Daarbij is bangmakerij een goeie voor managers die helemaal niet bezig zijn geweest met de AVG en dachten dat het allemaal wel goed zal gaan omdat de WBP ook nauwelijks gehandhaafd wordt. Want het AVG is nu ook een concurrentie instrument geworden, waarmee zeker de Amerikaanse IT reuzen sier kunnen maken, maar vooral lokale concurrenten kapot kunnen maken. Zeker als je bedenkt dat de AP iemand kan beboeten voor het overtreden van de intentie van de AVG en als je dan 2 jaarlang op je handen hebt gezeten, dan is je intentie wel duidelijk en de boete tenminste 4 miljoen.

Henk Kluvers CIPP/E 14 augustus 2017 16:47

Organisaties kunnen echter ook aansprakelijk gesteld worden door natuurlijke personen of hun verzekeraars als zij hun zaken niet op orde hebben. Dat kan ook in de papieren lopen. Bijvoorbeeld als een misdaadbende de vakantieplanning van een organisatie achterhaalt via een bezoeker en bij meerdere werknemers tijdens de vakantie inbreekt. Die planning hoort dus niet op een A4-tje aan de wand, maar op een goed beveiligd intranet. Net als de prive-adressen van werknemers.
En kunt u echt inzage geven in alle persoonlijke gegevens? En kunt u aantonen dat u persoonlijke gegevens niet langer bewaard dan nodig is? Ook van die boze ontslagen werknemer of van die woedende klant?
De nieuwe regeling is bedoeld om makkelijker met gegevens om te kunnen gaan. Onder voorwaarde dat u de zaken op orde heeft. Zoniet, dan is het niet de AP die u najaagt, maar de privepersonen, die zich benadeeld voelen. Gesteund door hun advocaten. Misschien wel dezelfde advocaten, die u nu vast waarschuwen.
Opdat u niet kunt zeggen: ik wist het niet.

Remy 14 augustus 2017 15:22

Terechte reactie Peter.

Handhaving gaat straks alleen plaatsvinden wanneer er een datalek is geweest èn de AP constateert dat je grof nalatig bent geweest in het proces van het inregelen van de AVG.

Er gaan per mei 2018 echt geen AP controleurs op deuren aankloppen om proactief de status van AVG compliancy te controleren. Zo jammer dit soort bang makerij.

Begin gewoon eerst met een scan welke en hoeveel persoonsgegevens je hebt en concludeer daar uit hoe snel je moet acteren; heb je veel, maar "openbare gegevens" gegevens, dan is de implicatie minder groot. Heb je veel en hoog vertrouwelijke pg in huis; dan wordt het een ander verhaal en dien je serieuze stappen te ondernemen.

De AP zal, verwacht ik, handhaven op basis van genomen maatregelen in de tijd tov de aard en hoeveelheid van PG die je verwerkt.

Jan 14 augustus 2017 14:02

Ook veel overheidsdiensten voldoen nog (lang) niet aan deze regelgeving valt mij op. Ik denk ook dat het met de handhaving wel mee zal vallen. Alleen in het geval dat gegevens opduiken die al lang weg hadden moeten zijn, kunnen er hoge boetes worden uitgedeeld.

Klaas Piet 14 augustus 2017 13:06

Klopt!!
Bang makerij van consultancy bedrijven die de problemen zogenaamd voor jou oplossen.

Peter 14 augustus 2017 12:11

Het gaat echt geen boetes regenen. Zwaar overdreven. Als je ziet in hoeverre de AP in dit stadium de Wbp handhaaft, zou ik me geen zorgen maken als ze de AVG moet gaan handhaven. Niet dat handhaven niet nodig is, maar het gebeurt gewoonweg niet! De AP is nog steeds een papieren tijger.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.