In december zijn in Brussel doorbraken gerealiseerd op het gebied van privacy en gegevensbescherming. Een akkoord over een Europese meldplicht bij het verlies van gegevens voor bedrijven als Google en Amazon en extra beveiligingseisen voor bedrijven in belangrijke sectoren (vervoerders, banken, ziekenhuizen) bleek de opmaat naar een akkoord over een heuse Europese privacywet die alle Europese burgers dezelfde bescherming biedt. De wet moet over twee jaren van kracht worden en legt bedrijven die omgaan met gegevens van Europese burgers strengere verplichtingen op met het risico van hogere boetes die kunnen oplopen tot 4% van de jaaromzet.
Nederlandse bedrijven hebben sinds 1 januari 2016 al te maken met meer privacy regels en een wettelijke plicht datalekken, zoals het verlies van een usb-stick met personeelsgegevens of een cyberaanval, te melden bij het CPB en aan de mensen wiens gegevens zijn verloren. De boete kan oplopen tot 810.000 euro.
Vanzelfsprekend dienen bedrijven en organisaties zich op het bovenstaande voor te bereiden door de dataverwerking in lijn te brengen met de nieuwe regels maar ook op een adequate reactie als het mis gaat.
Privacy is een onderwerp met hoge relevantie voor het grote publiek, ook al betogen sommige trendwatchers dat privacy geen rol meer speelt. De realiteit van vandaag is dat we leven in een ‘mediacratie’ waarin de beeldvorming veel verder kan strekken dan de feiten rechtvaardigen. ‘De schijn van…’ is al voldoende om flink uit te pakken. Dit alles maakt de snelheid, intensiteit en impact van een fout veel groter.
Wat kunt u doen om hier meer grip op te krijgen?
Een datalek is een incident. Voorkomen moet worden dat het door een verkeerde reactie ontaardt in een reputatiecrisis of erger. De maatschappij verwacht verantwoording, ook al schaadt dat wellicht je rechtspositie. Getroffenen verwachten snel zorg, actie en verantwoordelijkheid. Negentig procent van crisissituaties zijn gekende zaken. Men had het dus kunnen zien aankomen en had zich er op kunnen voorbereiden. Dat geldt zeker ook voor privacy zaken. Het is dus zaak voorbereid te zijn. Van belang zijn de juiste intelligence, snelheid en een integrale, multidisciplinaire aanpak. Regie over de boodschap en timing zijn essentieel. Hoe raak je de juiste snaar? Een duidelijk en goed verhaal is vereist, ondersteund door de juiste wapenfeiten, aansluitend bij wat de stakeholders belangrijk vinden. Kortom, inventarisatie en management van issues- en stakeholders zijn een essentieel onderdeel van ieder risico management plan.
Denkt u daarbij aan:
- Risicoanalyse en mitigatiemaatregelen
- Stakeholder analyse en –management
- Message development
- Kalenderbeheer
- Beslismodellen issues en risico’s
- Politieke media- en monitoring.
In veel organisaties is de verantwoordelijkheid voor het managen van het reputatierisico niet duidelijk belegd. Hier ligt een schone taak voor de general counsel verantwoordelijkheid te nemen voor een wellicht nog wel groter risico dan de oplegging van een boete.