Als ik met notarissen en ICT’ers praat over de privacywetgeving en meldplicht datalekken, valt het me op dat er bijna geen kennis van de materie aanwezig is. Notarissen zijn van mening dat hun geheimhoudingsplicht al maakt dat ze in voldoende mate aan de privacywetgeving voldoen. De meestal uitbestede ICT vinden ze de zorg van de ICT-provider, die moet maar voor de technische beveiliging zorgen zodat er geen datalekken ontstaan. Ook is er geen bewerkersovereenkomst met de ICT-provider afgesloten.
ICT’ers zijn van mening dat zij voldoen aan de meldplicht datalekken doordat de technische veiligheid voldoende gewaarborgd is, aangezien zij deze door middel van penetratietesten e.d. continu aan het mo-nitoren zijn. Een bewerkersovereenkomst zegt ze meestal niets.
Laten we duidelijk stellen dat de privacywetgeving al geruime tijd bestaat, zo’n 25 jaar. Hoe kan het dan toch dat er geen ‘sense of urgency’ is om hieraan te voldoen? Hier even kort de geschiedenis van de privacywetgeving op een rij.
Wpr
Sinds 1 juli 1989 was de Wet persoonsregi-straties (Wpr) van kracht. Deze was gebaseerd op de Richtlijn 95/46 EG van 24 oktober 1995. De Wpr was de allereerste regeling op het gebied van dataprotectie in Nederland uit de tijd dat er nog over per-soonsregistratie werd gesproken. Ook toen werd er wel erg makkelijk over gedacht: als je maar je persoonsregistratie(s) keurig had aangemeld bij de Registratiekamer (dit werd het College Bescherming Persoonsgegevens en is nu de Autoriteit Persoonsgegevens) dan zat het wel goed met de privacy. Maar dat was natuurlijk niet de hele strekking van de Wpr.
Wbp
De Wpr werd opgevolgd door de Wet bescherming persoonsgegevens (Wbp) op 9 juni 2001. Er waren twee belangrijke verschillen met de Wpr:
1. ‘Persoonsregistratie’ werd vervangen door ‘verwerking persoonsgegevens’.
2. Introductie van art. 13 Wbp waarbij expliciete verplichtingen zijn opgenomen met betrekking tot het beveiligen van persoonsgegevens.
Gegevensverwerking betreft het gehele proces dat persoonsgegevens doormaken vanaf het moment van verzamelen tot het moment van vernietigen. Vanaf eind jaren ’90 kwam de automatisering in een stroomversnelling terecht. Onze maatschappij raakte steeds meer gedigitaliseerd. De hoeveelheid data die opgeslagen wordt, groeit exponentieel. Big data speelt een steeds grotere rol. Dit komt o.a. doordat niet alleen ook consumenten zelf steeds meer data opslaan in de vorm van bestanden, foto's en films, maar ook doordat er steeds meer apparaten zelf data verzamelen, opslaan en uitwisselen (het zgn. internet of things). Niet alleen de opslag van deze hoeveelheden is een uitdaging, ook het analyseren van deze data speelt een steeds grotere rol, aangezien deze gegevens een schat aan informatie bevatten die voor diverse doeleinden kan worden gebruikt.
Het voorgaande betekende ook dat er een grotere en actieve verantwoordelijkheid kwam te liggen bij de verantwoordelijke voor de gegevensverwerking en diens verlengstuk, de bewerker (meestal een externe partij, d.w.z. niet tot de organisatie van de verantwoordelijke behorend, die ten behoeve van die verantwoordelijke persoonsgegevens verwerkt. Een ICT-provider is bijvoorbeeld een bewerker). De bewerkersovereenkomst wordt daarom veel belangrijker en daarmee ook de ketenaansprakelijkheid.
Europese Verordening Gegevensbescherming (GDPR)
Doordat de onderhandelingen over de Euro-pese Verordening Gegevensbescherming in het voorjaar van 2016 tot overeenstemming leidden, zal deze Verordening in mei 2018 voor alle Europese lidstaten van kracht worden. Vooruitlopend hierop werd in Nederland
per 1 januari 2016 de meldplicht datalekken van kracht en kreeg de Autoriteit Persoonsgegevens de mogelijkheid om fors hogere boetes op te leggen. In dat licht bezien is het dus nog steeds vreemd dat veel organisaties in het MKB de privacywetgeving en meldplicht datalekken zo licht opvatten.
Conclusie
Als je na ruim 25 jaar privacywetgeving nog moet beginnen met je privacy-administratie op te zetten, ben je echt te laat! Je hebt kans op hoge boetes en, wellicht erger, je loopt risico op reputatieschade. De eerste hoge boetes moeten nog worden opgelegd en de eerste bedrijven die failliet gaan door reputatieschade en aansprakelijkheid moeten nog komen, maar het staat vast dat dit een keer zal gebeuren. Hierop wachten getuigt niet van goed ondernemerschap.
Waar blijft de voorbeeldfunctie van de notaris en de invulling van het adagium ‘noblesse oblige’? En ICT-bedrijven zouden van het voldoen aan de privacywetgeving hun ‘unique selling point’ kunnen maken.
De ‘sense of urgency’ voor het voldoen aan de privacywetgeving lijkt voor de afwisseling nu eens hoger te liggen bij de (Europese en nationale) wetgever dan bij ondernemers en organisaties.