Data Governance
Wie meldt het volgende datalek? Laatst bijgewerkt: 12 oktober 2016

Het loont om zuinig op je klantgegevens te zijn, als je ziet wat er de afgelopen periode allemaal kwijt is geraakt: 500 miljoen Yahoo accounts – 2 miljoen energiecontracten – 316 pagina’s met daarop de namen en burgerservicenummers van inwoners van Utrecht – gegevens van 200.000 patiënten – de gegevens van 1.900 Amersfoorters… Drie maanden na invoering van de meldplicht datalekken stond de teller van het totaal aantal gemelde lekken in Nederland op bijna duizend, waarvan 147 bij gemeenten. Niet alleen vervelend voor de gedupeerde klanten en burgers, maar bovendien een enorm risico voor de betrokken organisaties. Imagoschade, bestuurdersaansprakelijkheid en boetes oplopend tot € 500.000 bij alleen al het niet melden van een datalek bij de toezichthouder en/of de betrokkenen. Wereldwijd onderzoek van het Ponemon Institute en Verizon maakt duidelijk dat de gemiddelde kosten van een datalek € 3.5 miljoen zijn, omgerekend €142 per gestolen record.Eventuele boetes van toezichthouders of contractuele boetes nog uitgezonderd.

Niet veel tijd

Infographic KadenzaDat zijn kosten waar iedere manager van schrikt, toch? Let dan goed op! De kosten van het onzorgvuldig gebruiken van klantgegevens kunnen nog veel hoger liggen! Op 25 mei 2018 loopt de implementatietermijn af van de General Data Protection Regulation (GDPR) ofwel Europese Privacy Verordening (EPV). De EPV vervangt dan de huidige Nederlandse Wet bescherming persoonsgegevens. De maximale boete onder de EPV is € 20 miljoen euro of 4% van de wereldwijde bruto jaaromzet. Alleen denken te weten dat je klantgegevens achter slot en grendel staan, is dan niet meer voldoende. Elke organisatie moet aantoonbaar maken dat het serieus werk maakt van preventieve gegevensbescherming en dat het al het mogelijke doet om aan de regelgeving te voldoen. Met nog 1,5 jaar te gaan, is er haast geboden. Voldoen aan de EPV brengt namelijk een grote hoeveelheid werk met zich mee.

Onbewust onbekwaam

Heb jij eigenlijk een goed idee hoe jouw organisatie er op dit gebied voorstaat en wat er nog moet gebeuren? Nee? Dan ben je niet de enige. Als het gaat om privacy en data governance zijn veel bedrijven nog ‘onbewust onbekwaam’. Om allerlei redenen. Soms is er geen beleid. Soms is er wel beleid, maar wordt het niet nageleefd. Soms zijn bedrijven zo gefocust op marketing en commerciële resultaten dat het ‘erbij inschiet’. En misschien zijn er wel organisaties die zich er gewoon niet al te druk om maken. Een paar voorbeelden om je wakker te schudden dan!

Het Amerikaanse warenhuis Target schikte in 2015 voor meer dan € 100 miljoen met banken en klanten nadat de gegevens van 40 miljoen creditcards op straat kwamen te liggen. De CEO was toen al opgestapt.

In 2012 (!) legde de toenmalige toezichthouder, het College bescherming persoonsgegevens aan zowel het Rotterdamse vervoersbedrijf RET als de NS een dwangsom op van € 120.000 resp. € 125.000 vanwege het te lang bewaren van reisgegevens van studenten.

Naar aanleiding van een last onder dwangsom van € 15 miljoen van datzelfde CBP voerde Google sinds 2015 ingrijpende privacy maatregelen door.

De Britse provider TalkTalk kreeg in oktober 2016 van de Engelse privacytoezichthouder een boete van €450.000,
omdat de gebruikersdata onvoldoende beveiligd waren.

Bad luck

Vanaf 25 mei 2018 maakt de EPV nog verdergaande boetemaatregelen mogelijk. Leun dus niet achterover! Alleen al de bewustwording vergroten binnen grotere organisaties door middel van training neemt al minimaal twee jaar in beslag. Net als het inrichten van basale compliance maatregelen. En het aanpassen van je IT systemen kost vaak wel 2 tot 5 jaar. Betekent dat dan dat het zinloos is om nog iets te doen als je nog niet begonnen bent? Nee, zeker niet. Als er zich problemen voordoen, maakt het namelijk een enorm verschil als je kunt aantonen dat je niet opzettelijk hebt gehandeld en niet nalatig bent geweest. Dat het ‘bad luck’ was, ondanks dat je er alles aan hebt gedaan om volgens de wettelijke regels te werken.

Privacy is chefsache

Je moet dus aantoonbaar aan alle wetgeving voldoen. De enige manier daarvoor is de inrichting van een gedegen data governance raamwerk en het treffen van de verplichte preventiemaatregelen. Privacy kan niet meer een bijzaak zijn, bescherming van privacy gevoelige gegevens (en gevoelige informatie in het algemeen!) moet een systematische voorwaarde zijn bij alles wat je doet. Privacy by design noemen we dat. Bovendien moet privacy ‘chefsache’ worden, met aandacht en draagvlak vanuit het hoogste bestuursniveau in je organisatie. Want vergis je niet, al vanaf 1 januari 2016 kan je als bestuurder persoonlijk aansprakelijk worden gesteld bij ernstige privacy overtredingen. Sla de column van Axel Arnbak, advocaat en onderzoeker, in het Financieel Dagblad er maar eens op na.

Eerst bewustwording?

Aan de slag? Begin dan niet meteen met het treffen van allerlei juridische, organisatorische, procesmatige en technische maatregelen. Zorg allereerst dat je organisatie zich bewust wordt van haar onbekwaamheid en hoe onbekwaam ze eigenlijk is. Hoe doe je dat? Door de wetgeving te vertalen naar de specifieke situatie in jouw organisatie. Zonder die vertaling blijft de wetgeving een verzameling open en abstracte normen. Een bloemlezing:

  • Persoonsgegevens mogen alleen voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. En vervolgens alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn.
  • Als identificatie niet meer noodzakelijk is voor deze doeleinden, moeten de persoonsgegevens worden verwijderd of geanonimiseerd.
  • Degene van wie persoonsgegevens worden verwerkt, moet ondubbelzinnige of uitdrukkelijke toestemming geven voor het gebruik van zijn gegevens.
  • Je moet naast je identiteit en het doel van de gegevensverwerking, ook nadere informatie verschaffen voor zover dat noodzakelijk is om een behoorlijke en zorgvuldige gegevensverwerking te waarborgen.
  • Persoonsgegevens moeten worden beveiligd met passende technische en organisatorische maatregelen.
  • Je bent verplicht een privacy impact assessment (PIA) uit te voeren.
  • Je bent verplicht inbreuken op de beveiliging te melden als er kans is op ernstige nadelige gevolgen of gevolgen voor de persoonlijke levenssfeer.

Als je deze regels toepast op jouw eigen situatie, hoe (on)bekwaam ben je dan? In hoeverre kun je op dit moment aantoonbaar maken dat je alle maatregelen hebt genomen om aan de wetgeving te voldoen?

Meer detailinformatie over de GDPR/EPV en de Wbp vind je hier en hier. Wat de wet precies onder persoonsgegevens verstaat kun je hier lezen.

Zelfbeschikking

Het lijkt misschien een logische reactie om alle deuren op slot te gooien en niet meer dan het noodzakelijke te doen met persoonsgegevens en andere vertrouwelijke informatie. Maar zoals altijd is angst een slechte raadgever. Privacyregelgeving geeft veel meer ruimte dan je in eerste instantie vaak denkt. Daarnaast blijft het risico op datalekken en verkeerd gebruik altijd bestaan, ook al gooi je de deur op slot. Waar mensen werken worden menselijke fouten gemaakt. Bovendien gebruik je de gegevens van je klanten niet voor niets. Je wil concurrentievoordeel behalen, door klanten op maat aanbiedingen te doen en advies te geven. Daarvoor heb je een gezonde mix nodig tussen het beheersen van risico’s en het benutten van kansen. Die mix krijg je alleen als je de klant zelf eigenaar maakt van zijn gegevens en je hem iets te bieden hebt, in ruil voor het gebruik van die gegevens. Als wij jouw gegevens mogen gebruiken, kunnen we je betere, op maat gesneden aanbiedingen doen! In Nederland staan consumenten daar zeker voor open. Kijk naar de bonuskaart van Albert Heijn of hoe Netflix kijkgedrag van klanten gebruikt. Als consument verhandel je dan eigenlijk een stukje van je privacy voor extra korting of service van je leverancier. Deze ‘zelfbeschikking’ met betrekking tot privacy gevoelige informatie geeft je als bedrijf niet alleen manieren om geld te verdienen, het verhoogt ook de betrouwbaarheid van die informatie.
Het mag duidelijk zijn: geen tijd meer te verliezen om bewustwording te creëren in je organisatie, keuzes te maken en een goed data governance framework te implementeren. Hoe je dat doet, leggen we je graag uit in onze volgende blog post “In 7 stappen klaar voor de privacywetgeving”.

Zorg jij er ondertussen voor dat je klantgegevens niet op straat komen te liggen?

Jean Paul van Schoonhoven is directeur van Legal2Practice, een adviesbureau gespecialiseerd in Legal, Compliance en Privacy. Hij is actief als docent en publiceert regelmatig over privacy gerelateerde onderwerpen.

Erik Leene is directeur innovatie bij Kadenza, Nederlands grootste dienstverlener op het gebied van self service analytics, big data en data governance. Hij presenteert en publiceert regelmatig over data governance, big data en business intelligence.

Legal2Practice en Kadenza hebben hun krachten gebundeld om data-intensieve bedrijven te helpen met hun risicomanagement en compliance, door het stapsgewijs implementeren van een – juridisch én technisch – data governance framework.

Whitepaper
DOWNLOAD