Bewustzijn

Dat moet een organisatie per situatie bepalen. “Je moet kijken naar wat voor gegevens je verwerkt, hoe je dat gebruikt en wat past bij de organisatie. Daarbij moet je altijd het doel voor ogen houden dat je de persoonsgegevens beschermt. Dat is een wettelijke plicht, maar je ziet ook dat de samenleving veel bewuster wordt van haar eigen privacy. Ook door de intreding van de AVG. Als consument mag je verwachten dat een professionele organisatie jouw privacy serieus neemt. Daarnaast kan een organisatie een flinke reputatiedeuk oplopen als ze dat niet goed regelen. En er staan ook hoge boetes op.”

Gelekte medische gegevens

De voorbeelden van organisaties die niet goed omgingen met de privacy van persoonsgegevens zijn legio. Bremmer: “Een aantal jaar geleden werd Samantha de Jong, beter bekend als Barbie, opgenomen in het HagaZiekenhuis. Haar medische gegevens lekten uit. Personeel van het ziekenhuis, dat niets met haar behandeling te maken had, had in haar dossier gekeken. Ze waren gewoon nieuwsgierig. Ze hadden niets in die dossiers te zoeken, maar hadden wel toegang. Het HagaZiekenhuis heeft daar een boete van 350.00 euro voor gekregen. Ze hadden wel een login-beleid, maar om jaarlijks op zes patiëntendossiers een steekproef te doen wie er toegang heeft gehad, was volgens de Autoriteit Persoonsgegevens (AP) niet voldoende om te zeggen dat ze veilig met hun patiëntengegevens omgingen. Een ander voorbeeld is dat in 2016 de gegevens van twee miljoen mensen van een energieleveranciers op straat belandden. Recent zagen we het bij de GGD. Daar hadden 26.000 medewerkers toegang tot de gegevens van naar schatting 6,5 miljoen burgers. Dat heeft het vertrouwen in de overheid geen goed gedaan.” “Deze organisaties hadden dit kunnen voorkomen als ze van tevoren goed hadden nagedacht over hoe zij hun privacy goed in moesten richten”, zegt Bremmer. “Door zowel goed na te denken over Privacy by design als Privacy by default. Wat je in zulke gevallen vaak ziet, is dat naar de IT-leverancier wordt gekeken. Zij hebben de plicht om een veilig systeem af te leveren. Je kunt wel een heel veilig systeem bouwen, maar als je vervolgens iedereen een sleutel geeft, is die veiligheid niets waard.”

“Je mag heel veel in het verzamelen van persoonsgegevens. Alleen vraagt de AVG dat je daar vooraf over nadenkt.”

Verantwoordelijkheid

Het is volgens Bremmer een misvatting om te denken dat de IT-leverancier of cloudleverancier verantwoordelijk is voor de juiste verwerking van persoonsgegevens. “Volgens de wet hebben zij de rol van verwerker en zij moeten vanzelfsprekend nadenken over de beveiliging van hun systemen, maar de verantwoordelijkheid van Privacy by design en Privacy by default ligt bij de klant. De IT-leverancier van het HagaZiekenhuis was er niet verantwoordelijk voor dat medische gegevens uitlekten, dat was het personeel van het ziekenhuis. Daarmee komt ook de verantwoordelijkheid bij de top van een organisatie te liggen om na te denken hoe hiermee om te gaan. Een leverancier kan wel met de organisatie meedenken over hoe je je systemen het beste kunt inrichten.” Zij wijst daarbij op het belang van goede afspraken met de IT-leverancier. “Mijn advies is om te vragen of de leverancier gebruik maakt van de Data Pro verwerkersovereenkomst. Die is gestoeld op de door de AP goedgekeurde branchegedragscode en helpt bij het maken van transparante afspraken over gegevensverwerking.”

Gemakzucht

Gemakzucht is volgens Bremmer een belangrijke reden waarom organisaties de bescherming van hun persoonsgegevens niet altijd goed hebben ingericht. “Het is eenvoudiger en daarmee ook goedkoper om alle data in één map te zetten. Met één sleutel die toegang geeft tot alles. De implementatie is sneller en goedkoper en het gebruiksgemak is groter. Als iemand z’n sleutel kwijt is, kun je die bij een collega makkelijk opvragen. Het is eenvoudig in te richten, maar niet veilig. Wat ik ook veel zie is dat organisaties graag veel persoonsgegevens willen hebben. Op websites laten ze de consument zo veel mogelijk velden invullen en dan het liefst ook allemaal verplicht. Ze weten nog niet precies waarvoor ze het gebruiken, maar het is zo aantrekkelijk omdat je er later misschien wel iets aan hebt. Als je bijvoorbeeld een cadeautje wilt kopen, is het niet zo relevant dat de website waarop je het koopt weet wat jouw geboortedatum is. Het is voor de aankoop van dat cadeautje niet nodig om dat door te geven en dus mag die webshop het niet verplicht stellen om het in te laten vullen.”

Inge Bremmer: “Je ziet dat de samenleving veel bewuster wordt van haar eigen privacy.”

Meer werk betaalt zich uit

Privacy by design laat organisaties vooruitdenken. Wat voor vragen kunnen ze in een later stadium verwachten? “Je kunt je systemen aan de voorkant zo inrichten dat je daar op kunt inspelen. Mensen hebben het recht om hun gegevens in te zien als je deze ergens achterlaat. Speel daar alvast op in. En biedt bijvoorbeeld extra privacy door waar dat kan te werken met gegevens onder een pseudoniem of met geaggregeerde data. Ook is het een eis in de AVG dat je de betrokkenen, veelal consumenten, goed informeert over wat je met hun gegevens doet. Als je dat aan de voorkant beter inregelt, bijvoorbeeld aan de hand van privacyverklaringen, dan heb je daar aan de achterkant minder werk van. Het is aan de voorkant meer werk, maar dat betaalt zich later wel uit.”

Standaard onderdeel

Bremmer benadrukt dat het niet zo is dat organisaties als gevolg van de AVG niets meer mogen. “Je mag heel veel in het verzamelen van persoonsgegevens. Alleen vraagt de AVG dat je daar vooraf over nadenkt. Met welk doel wil je de gegevens hebben? Daarover moet je vervolgens de betrokkenen informeren en je moet je systemen zo inrichten dat je het ook alleen voor dat doel gebruikt. Net als de Arbowet, moet privacy deel uitmaken van de compliance van de organisatie.”