In mei 2018 wordt de Wet Bescherming Persoonsgegevens (Wbp) vervangen door de Algemene Verordening Gegevensbescherming (AVG), een Europese wetgeving die bedrijven en instanties verplicht om nog nauwkeuriger met privacygevoelige data om te gaan. Ter voorbereiding zullen advocaten juridische adviezen schrijven en IT-organisaties investeren in het ontwikkelen van nieuwe beveiligingssoftware, maar uit onderzoek blijkt dat meer dan tweederde van de datalekken door menselijk falen komt.

“Als het geld naar de juridische en IT-kant gaat, dan gaat het niet naar de opleiding en bewustwording van medewerkers,” zegt Mathijs van der Most, Managing Partner bij PrivacyCompass. Een bedrijf dat organisaties via een multidisciplinaire aanpak helpt bij het voldoen aan de strengere wetgeving.

Menselijk falen

Bij het waarborgen van privacy zit een ongeluk al in een klein hoekje. Dat weet ook Ina Brouwer, General Counsel bij PrivacyCompass: “Veel organisaties denken dat het wel goed zit met privacy, maar dat is lang niet altijd het geval. Het probleem zit vaak in kleine dingen. Een medewerker die niet ziet dat hij een mail verstuurt met een bijlage waarin belangrijke persoonsgegevens zijn verwerkt.”

Vanuit juridisch oogpunt kan dit natuurlijk veel problemen opleveren voor bedrijven en instanties. Dat komt volgens Brouwer niet alleen door de boetes die de Autoriteit Persoonsgegevens (AP) kan opleggen bij overtredingen. “De aansprakelijkheid wordt groter met de nieuwe verordening, het bewustzijn onder consumenten groeit. Patiëntenorganisaties en consumentenbonden zullen bijvoorbeeld vaker schade gaan verhalen. Ik ben ervan overtuigd dat privacy een heel belangrijk onderdeel wordt van moderne bedrijfsvoering.”

Privacy als bijzaak

Door de enorme toevloed van informatiestromen krijgen organisaties veel meer privacygevoelige data binnen dan ze wellicht weten. “Ze zijn bezig met hun kernproces en hebben niet altijd oog voor de ‘bijzaak’ privacy. Ongemerkt kunnen er dan persoonsgegevens van honderdduizenden mensen door dat bedrijf gaan,” stelt Van der Most.

Daarnaast verandert er door de nieuwe verordening ook veel voor bedrijven die privacywetgeving voorheen niet hoog op de agenda hadden staan. “In het verleden hadden organisaties als Google, Facebook en de Belastingdienst vooral met privacywetgeving te maken. Nu wordt het opeens relevant voor organisaties die het verwerken van persoonsgegevens niet als kernactiviteit hebben.”

Voldoen aan de AVG

In een digitale wereld is het waarborgen van privacy een groeiend probleem met organisatie brede componenten. Om aan de nieuwe verordening te voldoen moeten organisaties volgens Van der Most dus kijken waar het pijnpunt ligt: “Zitten hun risico’s aan de kant van hun klanten of aan de kant van de dienstverlening en het externe domein? Zit het in de interne processen van de organisatie of zit het veel meer aan de kant van de IT-infrastructuur?”

Ook hebben organisaties er belang bij om vroeg aan dit multidisciplinaire vraagstuk te beginnen. Brouwer: “Je kan wachten op de boetes of nu al actie ondernemen. Zo kan je de AP én je klanten laten zien dat je alles op orde hebt. Wanneer je dat niet doet kunnen klanten afhaken en verlies je je concurrentievoordeel. Zo wordt slordig omgaan met privacy steeds meer een bedrijfsrisico.”

Eerstelijnshulp van PrivacyCompass

Het waarborgen van de privacy kan volgens Brouwer een hele worsteling zijn: “We leven al in een digitale samenleving, maar er komt nu iets bij. Privacybescherming wordt steeds belangrijker. Hoe ga je naast het primaire bedrijfsproces om met dit vraagstuk? Het is in de praktijk heel belangrijk dat organisaties handvatten krijgen waardoor ze precies weten wat er wel en niet mag. Zo leren ze omgaan met een digitale samenleving die steeds meer privacybescherming verlangt.”

PrivacyCompass biedt deze handvatten door tactisch en strategisch te adviseren, het bewustzijn van medewerkers te verhogen en privacy professionals in te zetten om klanten gereed te maken voor de nieuwe verordening. Van der Most: “We bieden eigenlijk eerstelijnshulp. Met onze privacy scan kijken we eerst wat het probleem is en welke risico’s een organisatie loopt. Vervolgens lossen we dat probleem op en weet je als organisatie precies wat je moet doen. Op het moment dat je dat weet ga je niet onnodig geld uitgeven, minimaliseer je de risico’s en kan je voldoen aan de wet.”