We zijn soms met speels gemak bereid in groten getale informatie met elkaar en met derden te delen, ook als het gaat om privacygevoelige gegevens. De vragen die zich opdringen: zijn we ons bewust genoeg wat er met deze data gebeurt, om welke redenen wordt deze data verwerkt en of/hoe wordt deze beschermd? Het ene na het andere datalek treedt op en verhandelen van en in handelen in data is nog nooit zo populair geweest onder cyber criminelen. Niet voor niets wordt data als het nieuwe goud bestempeld.
Laat ik beginnen door te stellen dat er diverse grondslagen zijn waarom data überhaupt wordt verzameld; zoals een wettelijke taak, een medische grond, een contractuele verbintenis of een gerechtvaardigd belang (zoals marketing bedrijven en aan financiën doen). Als mensen zoals u en ik toestemming geven om persoonsgegevens te verwerken is een “stuwmeer” aan data al snel geboren.
Deze vraag is niet eenduidig te beantwoorden omdat gegevens niet alleen worden verzameld in onze nabijheid en om legio redenen, maar ook en juist in situaties dat we er geen weet van hebben dat dit gebeurt en daar geen toestemming voor hebben gegeven of dat ons simpelweg niet meer herinneren. De toeslagenaffaire is hier een goed voorbeeld van, zo ook ongewenst cameratoezicht en het kopen van data die op websites wordt aangeboden met onze meest gevoelige gegevens. Datagedreven organisaties zetten steeds vaker grote gegevensverzamelingen in om tot gewenste inzichten te komen en te kunnen redeneren over de data van de belangrijkste asset “de persoon”. Het verwerken daarvan brengt risico’s met zich mee voor betrokkenen, met name als het om gevoelige gegevens gaat. Verkeerd gebruik van data door deze met iedereen te delen of slecht te beschermen brengt onherroepelijk een grote impact met zich mee op het leven van degenen op wie ze betrekking hebben. Als gegevensverzamelingen met elkaar in verband worden gebracht leidt dit weer tot nieuwe inzichten en kan aan profilering worden gedaan. Deze inzichten kunnen van grote waarde zijn, maar ook nog tot grotere risico’s leiden als ze in verkeerde handen vallen door dataroof en cyber attacks.
bedrijven en organisaties hanteren diverse redenen om gegevens te verzamelen. Een veel gehoorde reden is om vertrouwen te geven en te laten zien dat men graag zaken doet met deze bedrijven, alleen natuurlijk als zij de informatiebeveiliging aantoonbaar op orde hebben. Ook wil men het beter doen dan de concurrent om een goed imago op te bouwen en daar hoort wel de juiste data bij om concurrentievoordeel te behalen en efficiënt(er) te zijn in de bedrijfsvoering. Te vaak krijgt dit de overhand terwijl op managementniveau het onderwerp “privacy” niet omarmd wordt. Het levert niet gelijk extra omzet op of meer efficiency is de redenering. Dit is geheel onterecht want bijna iedere afdeling binnen een organisatie werkt in min of meerdere mate met persoonsgegevens en met name die organisaties die niet privacy maar datagedreven werken omarmd hebben. Organisaties moeten eerst worden wakker geschud als ze slachtoffer zijn geworden van cyber crime of negatief in de spotlights zijn gekomen met weer het zoveelste “datalek”.
Datagedreven organisaties die werk maken van data, kunnen ook heel goed “werk maken van privacy”. Drie factoren hebben invloed op het vertrouwen dat organisaties daar goed mee omgaan: duidelijkheid over datagebruik, bekendheid van de organisatie en een eventueel keurmerk in de branche zoals een ISO certificering of een gehanteerde normering uit de branche. Er gaat een ongekend grote werking van uit als organisaties voldoen aan de privacywetgeving en richtlijnen die aangeven hoe privacy het beste gewaarborgd kan worden. Waarom?
Imagoschade: een tik op de vingers door de Autoriteit Persoonsgegevens krijgt liever geen enkele organisatie want imagoschade is lastig en moeizaam herstelbaar en kan een bedrijf jarenlang achtervolgen. Klanten komen niet meer terug, het marktaandeel staat onder druk en een mogelijk faillissement ligt op de loer.
Boetes: het niet naleven van de privacywetgeving kan leiden tot hoge boetes, organisaties moeten kunnen aantonen dat de verwerking van persoonsgegevens in overeenstemming is met de wetgeving en dat hiervoor passende technische en organisatorische maatregelen zijn getroffen. Als een organisatie structureel in de fout gaat kan dit leiden tot afschrikwekkende boetes. Het nalaten van verplichtingen rondom gegevensbescherming kan een boete opleveren van maximaal 2% van de jaaromzet. Veroorzaakt een organisatie datalekken door grove nalatigheid waarbij de privacy en veiligheid in het geding is, dan is er sprake van een overtreding van de privacy beginselen en grondslagen. Dit levert een boete op van maximaal 4% van de jaaromzet. Een verzwarend effect is dat de boetes die met een basisbedrag beginnen verhoogd kunnen worden naarmate ernst en duur van de privacy overtreding. Gevoel voor een wezenlijk grondrecht (recht op privacy) moet leidend zijn en niet om alles er maar aan te doen die ene boete te ontwijken!
Ethiek: de allerbelangrijkste reden om aan de privacywetgeving te voldoen ligt in een morele verplichting ordentelijk, professioneel en privacy gedragen met persoonsgegevens om te gaan. We verwachten dat organisaties onze privacy serieus nemen en niet verkwanselen. Er is wel een verschil tussen wat de wet verwacht en wat je moreel gezien van organisaties mag verwachten zowel online als offline. Door bezoekers akkoord te laten gaan met jouw voorwaarden of cookies voldoe je wellicht aan de wet, maar dan ben je er moreel nog niet. Wanneer een gebruiker inlogt in een systeem en akkoord gaat met de voorwaarden is het juridisch gezien misschien prima om gebruikersdata te delen met datahonger giganten. Echter wanneer een app gevoelige data gaat delen met deze data giganten, zijn de meeste mensen het erover eens dat dit een ethische en morele grens overschrijdt.
Bedrijfsvoering/resultaat: zoals een goed huisvader betaamt straalt het af over de gehele organisatie nauwlettend oog te hebben voor privacy en privacy programma’s te hebben geïmplementeerd. Er is niets zo vervelend om op het moment dat zich een groot probleem voordoet zoals een datalek te gaan bedenken hoe en met wie dit aangepakt kan worden en hoe de privacy risico’s kunnen worden gereduceerd. Juist hier vooraf (voordat het probleem zich voordoet) mee bezig zijn en dit top of mind hebben heeft een positieve invloed op de doorlooptijd van vragen en zorgen van klanten over hun privacy. Ook hebben klanten meer vertrouwen in organisaties die privacybescherming serieus nemen en op orde hebben. Er doen zich niet alleen minder datalekken voor, maar ook de omvang en impact ervan zijn beperkter.
Er is een steeds grotere hoeveelheid data over ons beschikbaar en dat biedt ongekende mogelijkheden daar gebruik en misbruik van te maken, vooral door gegevens met elkaar te combineren. Investeren in privacy compliance heeft een positief effect op de waarde die organisaties uit hun data kunnen halen. Dat is een gevolg van meer en beter inzicht waar deze data zich bevindt en hoe deze wordt gebruikt en beschermd. Tegelijk is dit van positieve invloed op de juiste beheersmaatregelen op de kwaliteit van de data, ook als data niet verzameld mag worden omdat simpelweg de grondslag ontbreekt! We moeten erop kunnen vertrouwen dat degenen aan wie die gegevens worden toevertrouwd daar zorgvuldig en veilig mee omgaan. Dit is iets wat we gewoon mogen verwachten…