Door astronomische maximumboetes heeft de nieuwe Europese privacywetgeving inmiddels ieders aandacht. De adviesindustrie en de media stoken de ongerustheid verder op. Ligt op 25 mei volgend jaar een nieuwe doomsday in het verschiet?
Beeld: Dreamstime
De Belastingdienst bewaarde volgens de Hoge Raad tegen de regels in jarenlang miljoenen privacygevoelige kentekenfoto’s. De rechter tikte Translink, het bedrijf achter de OV-chipkaart, op de vingers toen dat bedrijf zonder tussenkomst van justitie gegevens verstrekte aan de Dienst Uitvoering Onderwijs. DUO wilde onderzoeken of studenten frauderen met de basisbeurs. De Autoriteit Persoonsgegevens (AP) heeft de gemeente Arnhem een dwangsom opgelegd vanwege het onnodig verwerken van persoonsgegevens voor het gebruik van ondergrondse afvalcontainers. Dat besluit leidde overigens direct tot bijkomende schade: er viel een vijfjarig kind in een afvalcontainer die sinds de dreigbrief van de AP ook zonder pasje is te openen.
Zomaar wat voorvallen uit de nazomer van 2017, die duidelijk maken dat – ook in een tijd van sociale media en vergaande antiterreurmaatregelen – privacy nog best gevoelig ligt. Nu de invoering van nieuwe Europese privacywetgeving op 25 mei 2018 naderbij komt, neemt die gevoeligheid steeds verder toe.
5.700 datalekken
De AP ontving in 2016, het eerste jaar van de meldplicht datalekken, bijna 5.700 meldingen. De meeste kwamen uit de sectoren gezondheid en welzijn (28,9%), financiële dienstverlening (17,1%) en openbaar bestuur (15,1%). “Dat wil niet automatisch zeggen dat zich hier de ergste overtreders bevinden. In deze sectoren worden veel persoonsgegevens verwerkt”, meldt de AP in zijn jaarverslag. Het zou volgens de woordvoerder relatief vaak om zoekgeraakte telefoons, USB-sticks of andere gegevensdragers gaan. Er zijn ook veel meldingen van klanten die in een klantportaal de gegevens van iemand anders konden zien.
Er lijkt in Nederland rond de Algemene Verordening Gegevensbescherming (AVG) een stemming te ontstaan die doet denken aan de millenniumbug. ‘Bedrijven in paniek over Europese privacywet,’ kopte het Financieel Dagblad in augustus, gevolgd door AG-Connect met ‘Het gaat boetes regenen door privacywet’. Op de site van Nederland ICT telt een klok af tot de nieuwe dag des oordeels; nog zoveel dagen, uren en minuten tot de AVG van kracht wordt. De dreiging is dit keer niet dat computersystemen op hol slaan, maar boetes die tot astronomische hoogtes kunnen stijgen.
IT-jurist Peter van Schelven ergert zich groen en geel aan al die bangmakerij. “Het lijkt inmiddels een groot werkgelegenheidsproject van juristen, consultants en accountants te worden”, verzucht hij. Duidelijk is dat de adviesindustrie er een welkome melkkoe bij heeft.
“Waar iedereen op aanslaat, zijn de hoge boetes die kunnen worden uitgedeeld”, stelt Van Schelven. “Maar inhoudelijk is de AVG de natuurlijke opvolger van de huidige Wet Bescherming Persoonsgegevens (WBP). Er zijn verschillen, maar de belangrijkste principes zijn hetzelfde gebleven. Het is een gedetailleerde invulling van het zorgvuldigheidsbeginsel, en dat wordt nu in heel Europa gelijk getrokken.”
Organisaties hadden in het verleden hun privacy-zaakjes al niet altijd even goed geregeld, zegt Ad Reuijl, directeur van het Centrum Informatiebeveiliging en Privacybescherming (CIP). “Dat de AVG nu voor zoveel reuring zorgt, komt inderdaad door die hoge boetes die worden voorgespiegeld. Je zag hetzelfde bij de introductie van de Wet Datalekken in 2016. Organisaties leefden de WBP vaak niet optimaal na. Toen die meldplicht kwam, gekoppeld aan flinke boetes, kreeg het onderwerp veel meer prioriteit.”
Kwantumkorting
Die boetes kunnen flink oplopen, waarschuwde Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, kort geleden in het FD. De maximumboete is 20 miljoen euro, of 4 procent van de omzet als die hoger is. “Let wel, dat is per overtreding. We geven geen kwantumkorting”, voegde hij eraan toe.
Of Nederlandse overheidsorganisaties ook te maken krijgen met een boeteregime is overigens nog geen uitgemaakte zaak. Dat mag elk land zelf beslissen en het wetsvoorstel voor de Nederlandse Uitvoeringswet AVG is nog niet ingediend. De nationale privacywaakhond AP heeft er in ieder geval duidelijk zin in. De organisatie heeft een groeispurt aangekondigd van 80 naar minimaal 185 fte om de ‘ingrijpende veranderingen’ het hoofd te bieden. Maar het kan ook flink boven de tweehonderd uitkomen, zegt een woordvoerster. Volgens haar krijgt de AP er tal van nieuwe taken en bevoegdheden bij, onder meer op het gebied van Europese samenwerking en de behandeling van klachten van burgers.
Of het nu onterechte bangmakerij is of niet, de AVG en daarmee het thema privacy heeft op dit moment ieders aandacht, bevestigt Reuijl. Dat was volgens hem lange tijd onvoldoende het geval. “We zagen nog te vaak een afwachtende houding. Afhankelijk van het achterstallige onderhoud kan dat nu dus best weleens een omvangrijke klus zijn.”
Ook bij zijn eigen kenniscentrum – het CIP – kreeg privacy in de eerste jaren na de oprichting in 2012 veel minder prioriteit dan informatiebeveiliging. De laatste anderhalf jaar gaat volgens Reuijl de meeste aandacht wel uit naar privacygerelateerde thema’s. Naast allerlei workshops en ander voorlichtingsmateriaal heeft het CIP bijvoorbeeld onder de noemer Grip op Privacy een handreiking ontwikkeld voor het verantwoord omgaan met persoonsgegevens (Privacy Baseline), een handleiding Privacy by Design en de handreiking Meldplicht Datalekken.
Reuijl: “We hebben daar recent twee nieuwe producten aan toegevoegd: een Privacy Self Assessment Tool en een workshop op basis van die tool.” Deze tool levert afdelingen of organisa- ties inzicht op hoe ‘volwassen’ hun gegevensbescherming is. Reuijl: “We gaan dit najaar met een groepsversie van deze tool workshops geven bij ministeries en zelfstandige bestuursorganen.” Dat moet een concreet eindresultaat opleveren: niet alleen een diagnose, maar ook een verbeterplan om de betreffende organisatie het gewenste niveau van privacy te laten bereiken. “Het kan best dat een organisatie dat niet meer voor 25 mei voor elkaar krijgt. Belangrijker is dat de groei naar meer ‘privacy-volwassenheid’ een centraal element in de bedrijfsvoering wordt.”
Stand van zaken?
Begin dit jaar dacht nog slechts 10 procent van tweehonderd bevraagde Nederlandse organisaties klaar te zijn voor de nieuwe privacywetgeving, zo bleek uit onderzoek dat PwC in januari presenteerde op de Internationale Dag van de Dataprivacy. Een kwart was zelfs nog niet begonnen. Uit onderzoek van de CIP bleek dat in 2015 slechts zo’n 35 procent van de aangesloten Nederlandse overheidsorganisaties een Functionaris Gegevensbescherming (FG) in dienst had – bijna een vereiste onder de AVG. Er is geen recenter onderzoek, maar voorzitter Reuijl heeft de indruk dat het aandeel flink is gegroeid.
‘Mijn functie wordt niet overbodig’
Juriste Irith Kist is sinds april Functionaris Gegevensbescherming bij de gemeente Den Haag, een fulltime functie. “Dat is nodig ook. Het is niet iets wat je er even bij doet, nog afgezien van het feit dat het geen combifunctie mág zijn. De slager keurt ook niet zijn eigen vlees. Ik houd me bezig met het vergroten van awareness en het borgen van compliance. Daarnaast komen veel inhoudelijke vragen bij mij terecht.
We volgen het tienstappenplan van de Autoriteit Persoonsgegevens (AP). Dat betekent onder andere dat je moet borgen dat er een PIA (Privacy Impact Assessment) plaatsvindt voorafgaand aan een project en dat er een register van de verwerkingsactiviteiten wordt bijgehouden. Aan de achterkant gaat het om toezien op het doorvoeren van reparaties en het doorgeven van datalekken aan de AP.
Een belangrijke taak van mij is het bewustzijn vergroten. Bij afdelingen waar van oudsher al veel met persoonsgegevens wordt gewerkt, is er een traditie om processen nauwgezet in kaart te brengen – zeker als men met ketenpartners werkt. Als een voorziening geheel intern draait, ligt dat soms anders. Ik ben zeer van het samen ontwikkelen. Een vereiste is dat je als FG goed samenwerkt met de CISO. En de privacyofficers bij de diensten. Privacy en security kun je niet los van elkaar zien.
Nee, mijn functie wordt niet overbodig op 25 mei 2018. Aandacht voor privacy is geen eenmalige inspanning. Ik vermoed dat het aantal inzageverzoeken van burgers zal toenemen.”
Hoe heet de boetesoep gegeten wordt, moet in de praktijk nog blijken. Wolfsen waarschuwt in ieder geval dat bedrijven niet moeten denken dat het wel los gaat lopen. De Europese afstemming maakt het bovendien makkelijker om veronderstelde overtredingen internationaal aan te pakken. Dat geldt voor de aanpak van multinationals als Google en Facebook. Maar de AP kan straks ook klachten van Nederlandse burgers over een organisatie uit een ander Europees land, makkelijker doorsluizen.
Reuijl ziet zelf weinig in een vergelijkbaar boetestelsel voor publieke organisaties: “Dat blijft toch een wat vreemde figuur. Uiteindelijk betaalt de burger het. Veel belangrijker is naming and shaming. Daar zijn organisaties heel benauwd voor.” Schelven heeft daar zijn twijfels over: “Ach, voor een datingsite heeft dat vast consequenties, maar mensen stappen niet over van zorgverzekeraar of een bank vanwege een datalek. Laat staan bij publieke organisaties waar je geen keuze hebt.” Hij hoopt en verwacht dat in ieder geval de huidige mogelijkheid van een last onder dwangsom blijft bestaan. Daar kreeg de gemeente Arnhem mee te maken. De AP beperkt zich tot dusver bij een eerste overtreding tot het geven van voorlichting, aanwijzingen en waarschuwingen. In 2016 werden er 5.700 datalekken gemeld bij de AP. Uiteindelijk kregen slechts honderd organisaties daarvoor een waarschuwing. De AP heeft in 2016 geen boetes opgelegd.
Reuijl: “Het is met privacy net als met security. Je loopt altijd achter nieuwe risico’s aan. Waar het om draait, is dat je in control bent en dat je dat kunt aantonen. Daarom leggen wij zo’n nadruk op managen. Er doen zich altijd weer nieuwe problemen voor. Ook in de AVG ligt de nadruk op accountability. Je moet kunnen aantonen dat je gedaan hebt wat je in redelijkheid kunt doen.”
Hoe voorkom je boetes?
De Europese Verordening is maar liefst 88 pagina’s lang. Het wetsvoorstel van de Nederlandse Uitvoeringswet AVG is nog niet gepubliceerd. De AVG is al van kracht, maar de overgangstermijn eindigt op 25 mei 2018.
Belangrijke elementen uit de AVG:
• Betere rechtspositie van burgers/klanten. Organisaties moeten transparant zijn over wat zij met persoonsgegevens doen, en vooraf daarvoor toestemming vragen. Burgers krijgen meer rechten om hun gegevens in te zien, te corrigeren en te verwijderen.
• Privacy by default: organisaties moeten de bescherming van persoonsgegevens op orde hebben en dat kunnen aantonen. Elke (grotere) organisatie moet documenteren welke persoonsgegevens worden verzameld en met welk doel. Alle datalekken moeten worden gedocumenteerd; datalekken met schadelijke privacygevolgen moeten worden gemeld bij de toezichthouder (al verplicht sinds 2016).
• Privacy by design: een belangrijk richtsnoer voor website- en applicatieontwerp is dataminimalisatie: vraagt, gebruikt en bewaart de organisatie uitsluitend wat werkelijk nodig is voor haar taak? De standaardinstellingen voor apps en online-diensten moeten steeds de meest restrictieve zijn.
• Aanstellen Functionaris Gegevensbescherming (FG). In beginsel is bijna elke publieke organisatie verplicht een FG aan te stellen. Deze verplichting geldt ook voor andere organisaties die op grote schaal bijzondere persoonsgegevens verwerken en waarbij dit een kernactiviteit is.
• PIA of GEB: Voor IT-processen met hoge privacyrisico’s moet vooraf een privacy impact assessment (PIA) plaatsvinden. Inmiddels heet dat een gegevensbescher- mingseffectbeoordeling (GEB).De AVG biedt enige speelruimte: op basis van een risicoanalyse kunnen organisaties bijvoorbeeld maatregelen nalaten die onevenredig veel kosten en/of een te gering risico verminderen. De AP beoordeelt of zulke keuzes terecht zijn gemaakt.