Euroforum Blog Het kennis blog van Euroforum
De vraag: “Is uw organisatie compliant aan privacy wet- en regelgeving?” is belangrijk voor alle organisaties die persoonsgegevens verwerken. De Algemene Verordening Gegevensbescherming (AVG) is op 25 mei 2016 in werking getreden. Dit betekent dat organisaties die persoonsgegevens verwerken tot 25 mei 2018 hebben om aan de regels uit de AVG te voldoen. Voor deze bedrijven veranderd er veel op het gebied van privacy en gegevensverwerking. De nieuwe Europese Privacy Verordening stelt veel organisaties verplicht om een Data Protection Officer (DPO) aan te nemen. De cursus Privacy management in de praktijk geeft u inzicht in deze veranderingen. Wij stelden een van de docenten van deze opleiding, Jeroen Terstegge, enkele vragen hierover.
Kun je in drie zinnen uitleggen wat privacy management voor jou is?
Privacy management is het actief beheersen van je compliancerisico’s en de privacyrisico’s van je klanten, werknemers, burgers, etc. Iets dat vandaag compliant is hoeft dat morgen niet meer te zijn. Veranderingen in technologie of de koers van je business, toegenomen aandacht van de toezichthouder of de media, ontevreden consumenten of werknemers die privacy issues er al dan niet terecht bij slepen, het zijn allemaal bedreigingen voor je compliance met de privacywetgeving die gemanaged moet worden.
Welke ontwikkelingen zijn er op dit moment gaande op het gebied van privacy wetgeving?
Privacy is niet langer alleen een onderwerp van juristen en een handjevol privacyexperts. Met de komst van de nieuwe Europese privacyverordening moeten overheden, bedrijven en instellingen actiever met privacycompliance omgaan. Je maatregelen moeten “aantoonbaar” passend zijn. Ook de meldplicht datalekken, die binnenkort wordt ingevoerd, is bedoeld om organisaties er toe te bewegen maatregelen te nemen om te zorgen dat ongelukken met persoonsgegevens worden voorkomen. En het CBP kan straks een boete opleggen als je ernstig verwijtbaar nalatig bent geweest. Allemaal redenen dus om met privacy en compliance in je organisatie aan de slag te gaan.
Wat voor consequenties heeft dit voor privacy management en –compliance in de organisatie?
Met name de mogelijkheid van een boete wegens ernstig verwijtbare nalatigheid heeft consequenties voor je organisatie. Immers, als er een datalek plaatsvindt of persoonsgegevens worden misbruikt, dan zal worden gekeken of je redelijkerwijs alles hebt gedaan om dat datalek of misbruik te voorkomen. Heb je de boel laten sloffen of – erger – heb je er bewust niets aan gedaan, dan kan je een boete krijgen tot maximaal € 810.000,- of als je een rechtspersoon (BV, etc) bent: 10% van je jaaromzet. En de negatieve publiciteit die met zo’n boete gepaard gaat, heeft zo mogelijk nog grotere gevolgen. In het buitenland hebben we al gevallen gezien waar de beurskoers van bedrijven fors daalden na een datalek. Dat heeft onmiddellijk gevolgen voor je positie op de kapitaalmarkt. En als je het vertrouwen van je klanten verliest, kan je al snel inpakken.
Wat zijn volgens u de meest voorkomende valkuilen op het gebied van privacy management?
Zonder twijfel is het grootste probleem dat managers vaak geneigd zijn om hun eigen privacywaarden als maatstaf te nemen voor de vraag of iets wel of niet mag. De wet is daar iets genuanceerder in en stelt grenzen die soms moeilijk zijn te accepteren. En als je dan ook nog de druk van de organisatiedoelstellingen voelt of denkt dat de concurrent het ook doet, dan ben je al snel bereid om een risico te nemen. Als dan de counterveiling powers in de organisatie ontbreken bij gebrek aan beleid, procedures, awareness of deskundigheid, dan doe je als organisatie snel de verkeerde dingen. Omgekeerd zie je dat organisaties soms in een kramp schieten. Ze hebben privacy management ‘overgeorganiseerd’ en laten op elk wissewasje een formele risico-evaluatie los. Ze worden risico-avers en gaan op de middenstip voetballen. Dat leidt tot lange doorlooptijden van projecten, of zelfs het afblazen van projecten. Daar gaat op den duur hun business onder lijden. De kunst van goed privacymanagement is om het juiste evenwicht te vinden tussen de privacybelangen en je zakelijke belangen.
Hoe ziet u de toekomst van privacywetgeving en privacy management in Nederland?
Dat het allemaal strenger wordt staat vast. Hogere boetes, strenger toezicht, kritische consumenten, werknemers en burgers en toenemende complexiteit in de informatiesamenleving vragen om een proactieve houding van organisaties ten opzichte van privacy. De nieuwe Europese Privacyverordening laat dan misschien nog even op zich wachten, de ontwikkelingen op nationaal niveau staan niet stil. Doe je ook over de grens zaken, dan wordt de problematiek nog ingewikkelder. Directeuren, bestuurders en managers moeten zich er op gaan voorbereiden dat ze vaker zullen worden aangesproken op hun besluiten die de privacy van hun consumenten, burgers en werknemers raken. En dan moeten ze een goed verhaal hebben en niet alleen naar hun jurist wijzen.
Tot slot: wat leren cursisten tijdens de cursus ‘privacy management in de praktijk?’ en met welke praktische handvatten gaan zij naar huis?
Misschien wel het belangrijkste dat ze leren is inzicht in hun eigen gedrag of dat van hun organisatie op het gebied van privacy. Als mocht blijken dat ze er als een “data cowboy” of een ‘window dresser” inzitten, dan is er nog een hoop werk aan de winkel. Inzicht in je eigen handelen is het begin van verandering. Velen weten echter niet waar ze moeten beginnen. Ook daar geven we ze tips en handvatten voor. En ten slotte gaan ze met een casus aan de slag om te leren hoe je met een datalek managet. Veel interactie dus. Deze cursus is naar mijn mening namelijk pas écht geslaagd als de cursisten niet alleen veel hebben opgestoken van de docenten, maar aan het eind van de dag vooral ook van elkaar hebben geleerd.
Jeroen Terstegge is naast docent van de Cursus Privacy management in de praktijk partner bij Privacy Management Partners, voorzitter van de Commissie Privacy van de VNO-NCW en bestuurslid van de Vereniging Privacy Recht.
Meer weten over Privacy management in de praktijk?
Tijdens de 2-daagse cursus Privacy management in de praktijk leert u boetes, toezicht en rechtszaken te voorkomen. U gaat naar huis met een persoonlijk plan van aanpak om uw organisatie privacy proof te maken. Bekijk programma.
