Advocaten en notariaat in Leiden en Den Haag
Menu
IT, IE & Privacy

Privacy-by-intent

IT, IE & Privacy

Robert-Jan van der Wart

21 april 2017 - 3 minuten leestijd

In de meeste publicaties wordt veel aandacht besteed aan verplichtingen van de verantwoordelijke tot het invoeren van Privacy by Design (vrij vertaald: direct bij het ontwerp rekening houden met bescherming van persoonsgegevens bij het verbeteren of ontwikkelen van nieuwe producten, software en diensten) en Privacy by Default (vrij vertaald: de standaardinstellingen van het product, de software of de dienst zijn privacyvriendelijk). Daarover een andere keer meer. Waar het mee begint is Privacy-by-intent.

Iedere organisatie die persoonsgegevens verwerkt zal doordrongen moeten worden van het feit dat het beschermen van persoonsgegevens niet alleen een wettelijke plicht, maar ook een deugd is; dat investeringen daarin niet alleen maar kosten zijn, maar ook toegevoegde waarde creëren. Iedere overheidsorganisatie, onderwijsinstelling, zorginstelling en onderneming is uiteindelijk afhankelijk van het contact met natuurlijke personen. De basisbeginselen van privacy waarborgen dat die natuurlijke personen letterlijk zoveel mogelijk ‘in hun waarde’ worden gelaten en representeren de mate van respect voor die personen.

Het is daarom zaak een goed beschermingsniveau te creëren, waarmee je als organisatie naar buiten kan en mag treden en waar je trots op kan zijn. Zo trots dat het als verkoopargument de doorslag kan geven voor je relaties. Daarnaast is het een verplichting op basis van de huidige Wet bescherming persoonsgegevens en de Algemene verordening gegevensverwerking, die met ingang van 25 mei 2018 zal worden gehandhaafd. Nog iets meer dan een jaar te gaan en – voor zover dat nog nodig is – de omslag naar een privacybewuste organisatie te maken.

Hoe doen succesvolle organisaties dat nu? En werkt dat ook voor een ZZP’er of de bakker op de hoek? Of voor een reclamebureau, laboratorium, school, fitnesscentrum, arbodienst of een timmerbedrijf? Hierbij een aantal tips op hoofdlijnen.

  1. De (bedrijfs-)leiding moet intern en extern laten merken dat zij privacy en geheimhouding serieus neemt: Privacy-by-intent.
  2. Er moet een deugdelijke privacybeleidscyclus worden opgezet en uitgewerkt: het beleid moet worden vastgesteld, de nodige beveiligings-, registratie- en trainingsmaatregelen en processen geïmplementeerd, de resultaten moeten worden bekeken en geëvalueerd en waar nodig het beleid weer aangepast. Daar moet de bedrijfsleiding (zie 1) voldoende middelen voor vrij maken. Uiteraard is het aantal en de zwaarte van beveiligingsmaatregelen volstrekt afhankelijk van de aard en omvang van de persoonsgegevens die worden verwerkt, en daarnaast van de financiële draagkracht van de onderneming. Maar dat er niets gebeurt, is geen optie.
  3. Waar vertrouwen in organisaties centraal staat, zal een proactief privacybeleid nog meer vruchten afwerpen. Dat betekent niet dat je de hoogste kosten ervoor moet maken, maar wel dat (compliance met) privacybescherming onderdeel uitmaakt van de kernwaarden van de onderneming.
  4. Als er fouten in de gegevensbescherming worden gemaakt, hoe gaat een organisatie daar dan mee om? Toedekken en hopen dat het niet wordt ontdekt, uit angst voor handhaving door de Autoriteit Persoonsgegevens, of transparant met een duidelijk doel tot verbetering? Dat laatste is niet alleen wettelijk voorgeschreven, maar maatschappelijk gezien ook veel beter te verantwoorden. Efficiënte en effectieve oplossingen kunnen worden gedeeld en verbeteringen aan (bijvoorbeeld software-) beveiliging breed uitgerold; niet alleen voor uw organisatie. Maar dit betekent dat de bedrijfsleiding een open en transparante houding moet ‘belonen’.
  5. Het inschakelen van externe bedrijven heeft altijd privacy-implicaties. Zorg dat je die in kaart hebt gebracht, of duidelijk is dat iemand als verantwoordelijke dan wel als bewerker optreedt en dat passende afspraken worden gemaakt.

De ZZP’er zal het wat gemakkelijker hebben met de organisatorische beveiliging (alleen de ZZP’er kan bij de gegevens), maar dure beveiligingssoftware zal wellicht buiten het budget liggen. De vraag is dan wat wel mogelijk is: is encryptie van de gegevens wel nodig? Is er een minder kostbare encryptie van de gegevens beschikbaar? Is voor de ZZP’er duidelijk dat gebruik van e-mail, Dropbox, Wetransfer en losse gegevensdragers veiligheidsrisico’s met zich brengt en dat een smartphone met een 4-cijferige toegangscode ook niet echt veilig is? Heeft de ZZP’er wel een kluis voor een laptop in de auto?

Wie daarover structureel nadenkt, de eigen organisatie van het belang daarvan overtuigt, toereikende maatregelen treft en deze regelmatig onderhoudt, laat zien respect te tonen voor de natuurlijke personen, waarmee de organisatie te maken heeft. Dat levert altijd betere relaties en blije gezichten op: Privacy-by-intent loont!

Robert-Jan van der Wart, advocaat/partner IT, IE & Privacy

Blijf op de hoogte

Ontvang de laatste updates en de beste tips in je inbox

Ook interessant?