Overslaan en naar de inhoud gaan

De Meldplicht Datalekken, die per 1 januari 2016 inging, is voor veel Nederlandse organisaties een moeilijk dossier. Een privacy officer kan helpen orde op zaken te stellen.

De komst van de Meldplicht Datalekken was al lang duidelijk. Toch werden pas begin december de puntjes op de i gezet, toen het College Bescherming Persoonsgegevens (CBP) zijn richtsnoeren na een consultatieronde formaliseerde tot het Beleidskader Meldplicht Datalekken. Enkele weken daarvoor gaf Udo Oelen, hoofd toezicht private sector van het CBP, al tips over maatregelen die organisaties moeten nemen om te voldoen aan hun meldplicht.
 

  • Beveilig de persoonsgegevens binnen de organisatie.
  • Zog voor goed incidentenbeheer.
  • Bepaal duidelijk wie in de organisatie datalekken zal beoordelen en eventueel melden bij het CBP. Dat voorkomt dat men “als een kip zonder kop” gaat rondrennen als de nood aan de man is.
  • Denk na over hoe betrokkenen geïnformeerd moeten worden bij een lek. Wat moeten ze weten? Hoe minimaliseert het bedrijf de gevolgen?
  • Denk na over hoe om te gaan met signalen van de buitenwereld over mogelijke datalekken. Hoe reageert het bedrijf in de media? Hoe zorgt het bedrijf voor responsible disclosure?
  • Maak en controleer afspraken met de partijen die voor de organisatie gegevens bewerken. Wees er zeker van dat deze partijen tijdig laten weten dat er een lek bij hen is en controleer of zij dat melden bij het CBP. In die afspraken moet follow-up na het afhandelen van het lek geregeld zijn.


 

Privacy officer aanstellen

De persoon uit de derde tip van Oelen die beoordeelt of sprake is van een datalek en dat dan meldt, is in steeds meer organisaties de privacy officer. Vooral grote organisaties hebben al privacy officers in dienst, met de komst van de meldplicht stellen steeds meer bedrijven iemand met deze functie aan. Rachel Marbus vervult die rol bij de NS. Zij gaf tijdens het Privacy Congres praktische aanwijzingen voor het privacyproof maken van een organisatie. "Voordat een bedrijf bekijkt of het kan voldoen aan de wet, moet het bepalen welk bedrijf het wil zijn; wat zijn de privacywaarden? Het zou zo kunnen zijn dat het bedrijf makkelijk kan voldoen aan de wet, maar dat dit tegen de eigen waarden in gaat."

NS heeft het al snel zwaar in de publieke opinie, vindt Marbus. Als er maar iets misgaat, wordt dat snel breed uitgemeten in de media. "De koppen zijn heel snel negatief over de NS. Positieve zaken als een prijs die we wonnen voor ons privacybeleid zijn vervolgens bijna nergens te lezen." Waarmee ze maar wil zeggen dat een bedrijf goed moet realiseren hoe het publiek denkt over het bedrijf in combinatie met privacy. "Houd de eigen waarden op het gebied van ethiek en privacy goed in het oog. NS is in dit opzicht zeer risicomijdend. We blijven ruim binnen de regels van de wet. En na de problemen rond de aanbesteding in Limburg is zelfs sprake van een zerotolerancebeleid. Voor mij is dat makkelijk. Nee zeggen, is nu geen enkel probleem. Al mist NS daardoor wel kansen en innovaties."

De NS bestaat uit verschillende zelfstandig opererende bedrijfsonderdelen. De directie van de NS Groep NV is de verantwoordelijke voor de Wet bescherming persoonsgegevens. Elk bedrijfsonderdeel heeft één of meer information security officers (ISO's). Er is bovendien een chief information security officer (CISO). Marbus is de privacy officer die namens de directie zorgt voor privacy compliancy en werkt daarbij nauw samen met de CISO. Zij is bovendien het enige aanspreekpunt voor het CBP. Dat voorkomt misverstanden. "Er wordt vanuit de NS 'maar met één stem met het CBP gesproken. Daarnaast is het voor mij erg makkelijk dat privacy compliancy bij de directie is ondergebracht. Mijn adviezen zijn bindend."
 

Voorwaarden voor goed beleid

Marbus heeft een duidelijk beeld van wat belangrijk is voor een privacy officer om goed te kunnen functioneren. Een privacy officer moet:

  • Het lef én het mandaat hebben om nee te zeggen
    "Dat mandaat is essentieel. De privacy officer kan een olifantshuid hebben en een rechte rug, maar zonder dat mandaat is deze functie een farce. Dan is jouw nee geen nee en betekent Jouw stem níets."

  • Creativiteit en flexibiliteit hebben
    "Nadat de privacy officer nee heeft gezegd moet de privacy officer in staat zijn alsnog mee te denken naar een ja als iets op een andere manier gedaan kan worden."

  • Ogen en oren in het bedrijf hebben
    "De privacy officer kan dit niet alleen doen. Zorg voor privacy ambassadeurs in de organisatie. Dat zijn de ISO's, maar weet ook wie de mensen zijn op de werkvloer die hierbij goed kunnen helpen."

  • Regelmatig audits doen
    'Audits leggen bloot wat mis kan gaan en ze bieden een goedkeurend stempel dat de privacy officer bij onderhandelingen een sterkere positie geeft."

  • Een privacy spreekuur houden 
    "Een keer per maand mag iedereen bij mij binnenlopen met een vraag over prívacy. Ik krijg machinisten binnen, mensen met heel wilde plannen die nog niet op papier staan. Daardoor kan ik al vroeg met ze meedenken. Dat helpt nieuwe producten privacy vriendelijk te maken."



Marbus waarschuwt dat ondernemingen binnen de grenzen van de wet moeten blijven. "Want het CBP zit er bovenop, zeker bij grote organisaties."

Toch is het CBP geen boeman, zegt ze. “Ze consulteren betrokken partijen, organiseren rondetafelgesprekken, schuiven aan bij expertgroepen. Ze willen horen welke problemen wij als grote bedrijven hebben en ze willen horen wat wij van het CBP vinden. Ze denken mee na incidenten zodat het probleem goed opgelost kan worden."

Auteur: Tanja de Vrede, Automatiseringsgids

TAGS

Copyright © 2019 Mavim B.V.