Het belang van een goede beveiliging van bedrijfsgegevens, waaronder persoonsgegevens, is evident. Data vormt in toenemende mate kapitaal dat beschermd moet worden tegen de nieuwsgierige en gretige blikken van concurrenten. De waarde van veel bedrijven, niet alleen in de internetwereld, wordt in belangrijke mate bepaald door de klantgegevens waarover het bedrijf beschikt. Ook het voorkomen van claims van betrokkenen en de bescherming van de goede naam is van groot belang, met name ten aanzien van persoonsgegevens. Het gaat dan niet alleen om de beveiliging van de persoonsgegevens maar ook om de correcte omgang daarmee. Die moet in overeenstemming zijn met de Europese en Nederlandse privacywetgeving.

De vraag is nu hoe die beveiliging en correcte naleving van de privacyregels daadwerkelijk geborgd kan worden in de organisatie. Uit onderzoek blijkt keer op keer dat techniek hierbij maar deels de oplossing is. De achilleshiel van ieder veiligheidssysteem blijkt de menselijke factor te zijn.

Aanscherping regels en grotere boetebevoegdheid toezichthouder

De wetgever lijkt te kiezen voor een verdergaande aanscherping van de regels, gecombineerd met een uitbreiding van de boetebevoegdheden van de toezichthouder, de Autoriteit persoonsgegevens. Met ingang van 1 januari 2016 is de meldplicht datalekken van kracht. Op grond hiervan moet iedere inbreuk op de beveiliging worden gemeld bij de Autoriteit (tenminste, als die inbreuk heeft geleid tot (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens). Dit is een vergaande verplichting. De nakoming daarvan is urgent omdat sinds dit jaar de Autoriteit aanzienlijk meer mogelijkheden heeft om boetes op te leggen. In uitzonderlijke gevallen zelfs tot 10% van de jaaromzet.

Europa zet in op privacy officer

Op Europees niveau wordt op dit moment de laatste hand gelegd aan een nieuwe privacy Verordening die naar verwachting in 2018 van kracht zal worden. De Europese wetgever lijkt vooral heil te verwachten van de aanstelling van een functionaris voor de gegevensbescherming, veelal aangeduid als privacy officer. Deze wordt verplicht voor in ieder geval overheidsinstellingen en waarschijnlijk ook organisaties als banken, zorginstellingen en internetondernemingen die zich richten op reclame inkomsten.

De privacy officer is een ingehuurde derde of werknemer van de verantwoordelijke of bewerker, maar heeft wel een onafhankelijke positie. Hij/zij heeft onder meer tot taak de verantwoordelijke (of bewerker) en zijn collega’s te informeren en adviseren over de privacyregels, toezicht te houden op de naleving daarvan en samen te werken met de Autoriteit.

Voor organisaties kan het aanstellen van een privacy officer een aantrekkelijk idee zijn, net als men nu al vaak een security officer heeft. Door het in het leven roepen van een nieuwe rol met een specifieke verantwoordelijkheid, kan eenvoudig worden betoogd dat men er alles aan heeft gedaan om de regels na te leven. Toch is het de vraag of dit werkelijk tot het gewenste resultaat kan leiden. Worden de privacy officers en security officers niet een roepende in de woestijn? Of een stempelfabriek? Het idee zou post kunnen vatten dat zolang de officers maar aftekenen op een voorstel voor een nieuwe ontwikkeling, bijvoorbeeld de introductie van een nieuw IT-systeem of een nieuwe marketingcampagne, de rest van de organisatie is gedekt.

Deze situatie doet een beetje denken aan het lot van de kwaliteitsmanagers. Eind jaren 80 was het bedrijfsleven in de ban van het kwaliteitsdenken. De nieuwe functie Quality Assurance Manager werd in gesteld. Sommige bedrijven gebruikten die rol om het kwaliteitsdenken in de hele organisatie uit te rollen, anderen beperkten zich tot die ene man die zich dapper stortte op het schrijven van procedures die vervolgens nauwelijks werden nageleefd.

Zoals één zwaluw geen lente maakt, kan van die ene privacy of security officer niet verwacht worden dat hij in zijn eentje de verantwoordelijkheid draagt voor beveiliging en een correcte omgang met persoonsgegevens.

Wettelijke verantwoordelijkheden

Juridisch bezien is dat in ieder geval niet zo. Het aanstellen van een privacy officer ontslaat een organisatie niet van de wettelijke verantwoordelijkheden als verantwoordelijke of bewerker. De uiteindelijke verantwoordelijkheid ligt op bestuursniveau, het C-level. De CEO, CFO, CIO, CMO en/of CTO zullen het belang van beveiliging en integer gebruik van persoonsgegevens moeten uitademen om daarmee de cultuur van de organisatie op dit punt te voeden. Als dat gebeurt kan het aanstellen van een privacy officer een goede stap zijn. Zo niet, dan wordt het een zeer eenzaam bestaan.

Lees meer:

Europa dwingt betere gegevensbescherming af bij organisaties

Over de auteur:

Patrick WitPatrick Wit is IT-recht advocaat en partner bij Kennedy Van der Laan, waar hij sinds 2014 zitting heeft in het Dagelijks Bestuur. Patrick is gespecialiseerd in de commerciële en juridische kanten van elektronische communicatie, complexe IT- en outsourcingprojecten en bescherming van persoonsgegevens. Patrick werkt op het snijvlak van technologie, mediakanalen en toezicht in de telecommunicatie-, media- en IT-sector. Voordat hij startte bij Kennedy Van der Laan was hij werkzaam als software-ontwerper, consultant en projectmanager bij Capgemini.