Goudlokje in privacyland

De invoering van de Algemene verordening gegevensbescherming (AVG¹) en de aankomende e-privacyverordening hebben binnen de overheid en het bedrijfsleven veel in beweging gebracht. Elke organisatie die persoonsgegevens verwerkt, lijkt rigoureuze veranderingen te moeten doorvoeren om torenhoge boetes te voorkomen. Veel organisaties lijken de invoering van deze wet-en regelgeving louter als een ongevraagde kostenpost te behandelen, een must-do afvinklijstje, opgelegd vanuit Brussel.

Dergelijke organisaties lopen een grote kans mis want zowel AVG als de e-privacyverordening bieden, naast verplichtingen op gebied van privacy en gegevensbescherming, ook kansen voor zowel de IT-huishouding als interne processen. Vooral voor opsporingsdiensten, gemeentes en overheidsorganen, die vaak met gevoelige gegevens omgaan, zijn dergelijke procesimplementaties van belang. Juist hier zijn de laatste jaren veel datalekken en misstanden geweest, wat het vertrouwen van burgers in deze instanties niet ten goede is gekomen.²

Inzicht geeft overzicht, en de nieuwe privacywetgeving dwingt organisaties om duidelijk te maken over welke informatie ze beschikken en hier verantwoordelijk mee om te gaan. Ook biedt het grotere inzicht in gegevensverwerking dat wordt afgedwongen kansen om het vertrouwen van burgers en klanten te vergroten.

In het sprookje ‘Goudlokje en de drie beren’ sluipt Goudlokje het huis met de drie beren in en proeft van de pap. Een bord is te koud, een te heet, en eentje precies goed. Deze ‘Goudlokje-standaard’ is naar onze mening ook van toepassing op de invoering van de AVG, en straks de e-privacyverordening: organisaties moeten niet te weinig doen om de AVG te implementeren, maar ook niet vervallen in ritueel, proces- en regelgeobsedeerd implementeren van privacy: liever precies goed dus!

 

25 mei 2018

Intussen kan het niemand meer zijn ontgaan: vanaf 25 mei 2018 zal de AVG, bekend onder de Engelse afkorting GDPR, worden gehandhaafd. In het kader staat kort beschreven welke eisen de AVG stelt. De wet is al sinds mei 2016 van kracht, maar werd tot nu toe niet gehandhaafd om organisaties de tijd te geven om aan alle vereisten te voldoen. Daar komt nu dus verandering in.

De AVG stelt de volgende eisen aan organisaties:
• Weet wiens persoonsgegevens je verwerkt.
• Weet welke persoonsgegevens je verwerkt.
• Weet met welk doel je persoonsgegevens verwerkt.
• Weet voor wie en door wie je persoonsgegevens
verwerkt.
• Weet welke persoonsgegevens een hoog risico lopen.
• Weet welke maatregelen je getroffen hebt om je persoonsgegevens te beschermen.
• Weet dat degenen wiens informatie je verwerkt geïnformeerd zijn.
• Weet dat datalekken gemeld en gemanaged kunnen worden.
• Weet dat je informatie kunt leveren aan gebruikers en toezichthouders.
• Weet dat je in de rechten van betrokkenen kunt voorzien.
• Weet dat je informatie alleen verzameld, verwerkt en bewaard wordt voor vastgestelde doeleinden en
termijnen.
Dit alles ter verantwoording aan betrokkenen, de eigen organisatie en de autoriteiten.

De directe aanleiding voor het Europabreed verbeteren van gegevensbescherming is de (gepercipieerde) ontsporing van gegevensverzameling door allerlei organisaties. Het gaat hierbij om de bekende voorbeelden zoals de Amerikaanse techgiganten Facebook en Google die op grote schaal informatie over hun gebruikers verzamelen, maar ook overheden, gemeentes en opsporingsdiensten die (te) veel data van hun burgers verzamelen en opslaan voor soms onduidelijke doeleinden.³ De laatste groep neemt overigens ook graag gegevens van voornoemde giganten over. Zo keek de NSA direct mee met een aantal techgiganten.⁴ Ook de Nationale Politie maakt graag gebruik van dergelijke informatie en vraagt veelvuldig gegevens op van onder andere Microsoft⁵, Apple⁶ en de Belastingdienst⁷. Voor het veiligheidsdomein gelden nog veel meer wetten voor de bescherming van persoonsgegevens (zie kader Wetgeving voor verwerken persoonsgegevens in het veiligheidsdomein).

E-privacyverordening

Naast de AVG komt er ook een e-privacyverordening die de huidige e-privacyrichtlijn vervangt. Deze verordening is een aanvulling op de AVG die verdergaande eisen stelt aan de verzameling van gegevens bij de inzet van marketingkanalen en de bescherming van communicatie zoals e-mail, cookies en telemarketing. Met het vervangen van de Richtlijn uit 2002 door een verordening wordt de lokale wetgeving in verschillende Europese landen, waaronder de cookiewet in Nederland, gelijkgetrokken. De reikwijdte van de verordening wordt ook groter omdat Over The Top (OTT)- diensten als Whatsapp, Snapchat en Netflix, maar ook Internet of Things (IoT) hieronder zullen komen te vallen.

De datum van 25 mei 2018 geldt als implementatiedatum voor de AVG; voor de e-privacyverordening is nog onbekend wanneer deze van kracht zal worden. De verwachting is dat de implementatiedatum een eerste mijlpaal zal zijn: toezichthouders zullen op basis van de stand van de implementatie enerzijds snel eisen aan achterblijvers stellen, anderzijds zullen zij van organisaties die wél haast gemaakt hebben met implementatie, eisen dat zij de AVG-eis van ‘continue verbetering’ in gegevensbescherming aantoonbaar kunnen maken.

Minimaal of maximaal?

De implementatie van de nieuwe privacywetgeving wordt door organisaties op allerlei manieren geïnterpreteerd en uitgevoerd. Hier evalueren we twee ambitiestromen: een minimalistische en een maximalistische implementatie.

Minimaal

Een minimalistische implementatie is gericht op compliance (‘een vinkje halen’). Hierbij wordt ernaar gestreefd alle benodigde aspecten formeel vast te leggen in een waaier aan beleidsdocumenten. Er wordt een ‘papieren tijger’ gecreëerd die, hoewel deze de eisen van de wet volgt, niet doeltreffend. Zo kan een organisatie wel een datalekbeleid hebben, maar als werknemers er niet vanaf weten en er geen verantwoordelijken voor zijn aangewezen, dan zal er niet op tijd gereageerd kunnen worden als het erop aankomt.

Als een organisatie kiest voor het minimumscenario zullen er voornamelijk kosten zijn. Op korte termijn zijn deze waarschijnlijk relatief laag, doordat er, naast formele veranderingen, verder weinig aan de bestaande systemen en werkprocessen verandert. De organisaties profiteren niet van de baten en mogelijkheden die de privacyverordeningen bieden. Er is daarnaast een risico dat wettelijke vereisten beperkt of niet geïmplementeerd worden, waardoor alsnog een boete opgelegd kan worden. Ten slotte kan een minimalistische implementatie ook het imago van de organisatie en het consumentenvertrouwen aantasten, als blijkt dat de organisatie haar woorden niet consequent in daden omzet. Kortom: wel kosten, weinig baten en weinig inzicht in de risico’s van zowel financiële als reputatieschade.

Maximaal

Bij een maximalistische implementatie zijn de privacyoverwegingen in de gehele bedrijfsstructuur opgenomen (privacy by design). Zo heeft de organisatie onder andere inzicht in de risico’s van informatieverwerkingsactiviteiten, kan zij verzoeken van betrokkenen direct verwerken en heeft ze inzicht in het informatielandschap van hr tot marketing. Hierdoor is de organisatie transparant en kan zij haar verantwoordingsverplichting nakomen naar toezichthouder en betrokkene.

Er is echter meer uit deze aanpak te halen dan transparantie en verantwoording door een maximalistische benadering. Door niet alleen naar de interne persoonlijke gegevensverwerking te kijken, maar dit breder te trekken overstijg je de kaders en verplichtingen van de wet om waarde voor de eigen organisatie te creëren. Een nadeel aan de maximalistische benadering is dat dit initieel een grote investering vereist, die op korte termijn weinig op zal leveren. Op lange termijn levert dit veel kansen op doordat met gestructureerde inzichten in de informatiestromen, processen gemakkelijker gestroomlijnd kunnen worden (‘lean’). Hierdoor kunnen organisaties veel kosten besparen. Daarnaast creëert een maximalistische implementatie een cultuur waarin gegevensbeschermingsoverwegingen op alle niveaus zijn meegenomen in organisatieprocessen. Een maximalistische implementatie kan zo de kans op incidenten verkleinen, en een aanvullend onderdeel zijn van een (communicatie)strategie om het vertrouwen van burgers in organisaties te vergroten of (in het ergste geval) herwinnen.

Of toch in het midden? De drie beren

Een eerlijke blik op de huidige AVG-implementaties leert dat de minimalistische interpretatie bij veel organisaties de voorkeur heeft. Men wil eerst afwachten hoe heet de soep door de toezichthouders gegeten wordt, en of een branchegenoot niet bestraft wordt doordat deze de wet- en regelgeving niet gevolgd heeft.

Wat ons betreft ligt het ideaal ergens tussen de twee uitersten: de eerdergenoemde Goudlokje-standaard, waarbij de organisatie niet te veel en niet te weinig doet. Een aanpak die in het midden ligt, biedt de kans om de voordelen van een maximalistische aanpak te oogsten, zonder te verzanden in een prijzige en formalistische lijstjescultuur. Hieronder enkele schetsen van een dergelijke benadering.

Uit welke onderdelen kan de middenaanpak bestaan?

Een aanpak waarbij privacy als positieve waarde in de bedrijfsvoering wordt gezien zal initieel meer kosten met zich meebrengen. Er moet immers een slag gemaakt worden om meer grip op informatie en informatiesystemen te krijgen. Dit opent echter ook de weg voor innovatie en vernieuwing, wat op langere termijn een grote kostenbesparing kan zijn.

1. Inzicht in welke informatiesystemen en gegevens er zijn

De AVG eist dat organisaties inzichtelijk moeten hebben waar informatie wordt opgeslagen. Dat betekent dat alle informatie tegen het licht wordt gehouden, wat tot waardevolle inzichten kan leiden. De meeste organisaties hebben nu nog weinig inzicht in hun informatielandschap, zowel wat betreft persoonsgegevens als andere data. Vaak is het niet duidelijk waar welke gegevens zijn opgeslagen en wie de eigenaren zijn, waardoor meer gegevens verzameld kunnen worden dan noodzakelijk is voor de goede uitvoering van een dienst; zo worden gevoelige gegevens soms onnodig aan risico’s blootgesteld. Legacy-systemen, toenemende koppelingen tussen databases en meer uitwisseling met externe partijen compliceren het verkrijgen van dergelijke inzichten nog verder. Door data discovery analyses uit te voeren, kan inzicht verkregen worden in informatie en informatiestromen voor persoonsgegevens, maar ook voor andere informatie. Dit kan de basis vormen van een plan om het applicatielandschap op alle organisatieniveaus te vereenvoudigen.

2. Vereenvoudigen applicatielandschap

De bepalingen van de nieuwe wetgeving stellen ook eisen aan applicaties. Eén van de meest prominente voorbeelden is de eis dat gegevens verwijderd moeten worden nadat de grondslag voor gebruik is verdwenen (als er geen contract of wettelijke reden meer is voor het gebruik). Uit oudere applicaties kunnen gegevens soms bijvoorbeeld niet worden verwijderd. Dit heeft er bij diverse organisaties voor gezorgd dat verouderde applicaties met spoed zijn uitgefaseerd. Dergelijke gedwongen innovatieslagen kunnen zeker voordelen bieden (de zogenaamde ‘vlucht naar voren’): door organisaties die lang aan oude technologie zijn blijven plakken op het innovatiepad te brengen.

3. Verbeterde gegevensbescherming

De AVG-eisen helpen om inzicht te krijgen in het informatielandschap en in de verwerkingen die een hoog risico hebben. Dit biedt kansen om deze gegevens beter te beveiligen. In de afgelopen jaren hebben de meeste organisaties zich gerealiseerd dat informatie de grootste waarde in een moderne organisatie vertegenwoordigt, maar velen hebben hun gegevensbeschermingsbeleid desalniettemin nog niet op orde. De gedwongen evaluatie van de bescherming van persoonsgegevens leidt ook tot nadenken over het goed inrichten van gegevensbescherming en risicomanagement in brede zin. Met name de eisen die binnen de AVG gesteld worden aan incident- en crisismanagement bieden een duidelijke organisatorische toevoeging aan het gebruikelijke palet van (vaak technisch ingestoken) maatregelen. Daarnaast is een goede incidentafhandeling bijvoorbeeld ook voor intellectueel eigendom en fraude een noodzaak.

4. Vertrouwen scheppen

Een goed opgezet en helder gecommuniceerd privacybeleid kan bij consumenten, zowel als werknemers, zorgen omtrent de behandeling van persoonlijke gegevens wegnemen. In het GfK-onderzoek dat aan de basis van Trends in Veiligheid ligt, geeft 80% van de respondenten aan dat er meer regels moeten komen  om te zorgen dat bedrijven als Google, Facebook en WhatsApp niet zomaar meer bij gegevens kunnen komen en deze kunnen verzamelen. Verlies van vertrouwen is een reëel risico voor organisaties. Wie eerlijk en proactief communiceert over beleid en incidenten, kan zorgen wegnemen bij consumenten waardoor deze mogelijk meer open zal staan om deze diensten af te nemen.

Wat bovenstaande voorbeelden met elkaar gemeen hebben, is dat allen zowel voldoen aan een van de eisen van de AVG, als dat ze verbonden zijn aan tastbare doelstellingen en verbeteringen voor de organisaties waarin ze geïmplementeerd worden. De AVG-pap eten moet je toch, dan kan je er maar beter voor zorgen dat deze op jouw optimale temperatuur is afgestemd.

Een zonnige toekomst voor privacy

Tussen een minimale inzet op compliance en een maximale inzet die privacy bijna ritualiseert staat een benadering waarin duidelijke uitgangspunten, doorvoelde principes, onderbouwde inzichten en heldere communicatie van privacybeleid centraal staan. Van een situatie waarin bedrijven en overheden informatie opslurpen en wetgeving lijdzaam ondergaan, gaan we naar een situatie waarin organisaties de teugels weer in handen nemen en doelgericht informatie verzamelen van hoge kwaliteit.

Wetgeving voor verwerken persoonsgegevens in het veiligheidsdomein

Organisaties in het veiligheidsdomein hoeven de GDPR en e‑privacyverordening alleen voor bedrijfsmatige processen (zoals hr-processen) te implementeren. Voor hun kernprocessen (opsporing, onderzoek etc.) moeten zij aan andere wetgeving voldoen.
Klik op de afbeelding voor  groter overzicht: