Veel organisaties associëren privacy vooral met een boel verplichtingen. Dat is niet helemaal terecht. Focus op privacy biedt veel kansen. In dit artikel leggen BDO’s privacy-experts Robert van Vianen, Jeroen Caron en Menno Weij uit welke.
AVG
Wanneer we het over privacy hebben, kunnen we niet om de Algemene Verordening Gegevensbescherming (AVG) heen. De AVG stelt dat organisaties verplicht zijn op een veilige manier om te gaan met persoonsgegevens van klanten, medewerkers en leveranciers. Bij de invoering van de AVG in 2016 was er veel aandacht voor privacy, maar Robert van Vianen, Partner Cyber Security Advisory, ziet dat er steeds vaker ‘de klad in komt’. “Niet alle organisaties hebben nog voldoende focus op privacy.”
Dynamisch proces
Collega Jeroen Caron, Senior Manager IT Audit bij BDO, vertelt dat organisaties bij de invoering van de AVG met privacy aan de slag zijn gegaan, maar daarbij te weinig oog hebben gehad voor (structurele) processen. “Sommige procedures werken nog wel, zoals de meldplicht datalekken”, begint Caron. “Maar als je moet kunnen aantonen welke persoonsgegevens je verwerkt, is het document dat vijf jaar geleden voor het laatst is bijgewerkt niet meer accuraat. Daarmee kan je haast opnieuw beginnen.” Menno Weij, Partner Tech en Privacy Law, ziet privacy als iets dynamisch. “Het is niet zo dat het na één keer inrichten geregeld is. Privacy vergt doorlopend aandacht.”
Meer dan een verplichting
Weij ziet dat organisaties de laatste jaren steeds vaker zijn gaan denken vanuit een pakkans. “Het risico op een boete staat vaak centraal, maar je moet juist denken aan je reputatie. Wat voor gevolgen heeft het als je met een datalek in de krant komt?” Van Vianen merkt dat organisaties privacy vaak als een ‘moetje’ zien, terwijl het juist een grote voordelen kan bieden op zakelijk vlak. “Door serieus aan de slag te gaan met privacy straal je vertrouwen uit naar leveranciers en klanten”, legt hij uit.
Ook Weij ziet mogelijkheden. “Aan de ene kant is het een hygiënefactor, aan de andere kant een sellingpoint. Veel mkb-ondernemers beschikken over gevoelige gegevens van hun eigen medewerkers, klanten en leveranciers. Als je laat zien dat je daar zeer serieus mee omgaat, is dat goed voor je reputatie.”
Datalek? Grote gevolgen
Er staan regelmatig berichten in de krant over grote datalekken. Toch hebben veel ondernemers het gevoel dat hen dat niet zal overkomen. Onterecht. Cybercriminelen azen niet alleen op persoonsgegevens van grote corporates of organisaties in de publieke sector, ook gegevens van mkb zijn voor hen interessant. Daarnaast veroorzaken medewerkers soms per ongeluk een datalek, bijvoorbeeld door gevoelige gegevens te delen met iemand buiten de organisatie.
Publieke sectorinstellingen hebben lange tijd uitgestraald dat een datalek hen niet zou kunnen gebeuren. Dat bleek de afgelopen jaren echter naïef. “Vorig jaar zijn een aantal woningcorporaties ongeveer twee weken onbereikbaar geweest na een cyberincident. En dat kwam groot in het nieuws”, vertelt Caron. “Uit mediaberichtgeving bleek minimaal één van de corporaties kopieën van identiteitsbewijzen in bezit te hebben, terwijl ze die helemaal niet mochten hebben.”
Creëer bewustzijn
Wilt u aan de slag met privacy in uw organisatie? Volgens Caron, Weij en Van Vianen is voldoende bewustzijn bij uw medewerkers dan een vereiste. “Het moet in het DNA van de mensen gaan zitten”, stelt Van Vianen. Caron vindt dat de directie een belangrijke rol speelt. “De toon vanuit de top moet goed zijn. Dat is een belangrijke randvoorwaarde voor de rest van de organisatie om privacy serieus te nemen.” Weij vergelijkt privacy op zijn beurt met andere soorten veiligheid: “We doen meerdere keren per jaar brandoefeningen, waarom doen we dat niet ook met digitale veiligheid?”
Overheden en organisaties die als kernactiviteit veel (bijzondere) persoonsgegevens verzamelen, moeten op basis van de AVG verplicht een Functionaris Gegevensbescherming (FG) aanstellen. In de praktijk gebeurt dat lang niet altijd. Volgens Van Vianen komt dat omdat er te weinig mensen met expertise beschikbaar zijn. “Hierdoor doet een medewerker dit er vaak bij, al dan niet uit vrije wil. Je kunt dan natuurlijk niet verwachten dat het vanzelf goed gaat.
Daarnaast maken veel organisaties gebruik van systemen die niet eenvoudig ‘AVG-proof’ te maken zijn. “Zo zijn er bijvoorbeeld geen automatische mogelijkheden om persoonsgegevens na de bewaartermijn te verwijderen. Er zijn inmiddels bedrijven op de markt die applicaties aanbieden om dit te doen”, legt Caron uit. Tegelijkertijd wordt veel data ongestructureerd opgeslagen in programma’s als SharePoint. “De mens is hier de zwakste schakel”, stelt Weij.
Nieuwe technologie
En dan bonkt er ook nieuwe technologie zoals kunstmatige intelligentie (Artificial Intelligence, AI) op de deur, die voor privacy-uitdagingen zorgt. Het bij velen bekende ChatGPT gebruikt bijvoorbeeld alle input die het krijgt om de software te verbeteren. Oók gevoelige informatie “Organisaties beseffen dat altijd niet wanneer ze ChatGPT gebruiken”, benadrukt Weij. Hij vertelt dat zowel de Verenigde Staten als de EU onder andere daarom aan wetgeving werkt. “Sommige mensen roepen dat AI heel gevaarlijk is. Ik denk dat je technologie moet omarmen. Het is echter belangrijk dat je het moet blijven kaderen.”
Contact
Zoekt u een partner om mee te denken over uw kansen op het gebied van privacy? Neem dan direct contact op. Bent u benieuwd of uw online omgeving voldoende bestand is tegen dreiging van buitenaf? Doe via onderstaande button een gratis veiligheidsscan.