WET- EN REGELGEVING Privacy en beveiliging Voorkomen is beter dan genezen Wie in de beveiliging actief is, bekijkt het thema privacy misschien met scepsis. Toch is daar geen reden voor. Wie op de juiste manier omgaat met privacy, creëert license to operate. Dat is niet alleen belangrijk voor beveiligers maar ook voor opdrachtgevers. Via de privacywetgeving worden op dit ogenblik hoge boetes geïntroduceerd. Voorkomen is daarom beter dan genezen. tekst Sergej Katus 14 | S E C U R I T Y M A N AG E M E N T | 1/2 2014 P rivacy en beveiliging worden vaak gezien als tegenpolen. Meest actueel is de discussie over de activiteiten van de Amerikaanse inlichtingendienst NSA. Afgelopen november nog dagvaardde een coalitie van privacyvoorvechters de Nederlandse Staat, omdat ook onze overheid van NSA-informatie gebruik maakt. Andere discussies gaan over vliegende camera’s (drones), de inzet van bodyscanners op Schiphol, gezichtsherkenning, vingerafdrukken. Of - op kleinere schaal - monitoring van e-mailverkeer, surfgedrag of camerabewaking door werkgevers. Met de wet in de hand wordt graag verteld wat er allemaal niet mag. Maar is dat eigenlijk wel zo? In dit artikel laten we zien dat privacywetgeving zelden een aanpak verbiedt maar juist legitimiteit verschaft. De belangrijkste privacywet, de Wet Bescherming Persoonsgegevens (WBP), schrijft vooral regie en kwaliteit voor. LICENSE TO OPERATE VERDIENEN De WBP is techniek-onafhankelijk. De wet bevat geen voorschriften voor beveiligingsmethoden en technieken als zodanig, maar stelt eisen aan de bijbehorende informatieverwerking. Zodra beveiligingsinformatie consequenties kan hebben voor personen moet met de WBP rekening worden gehouden. Zo niet dan is een beveiligingsaanpak illegaal, omdat de informatieverwerking niet voldoet aan de eisen. Dat is minder dramatisch dan het lijkt. De WBP begint met de erkenning dat informatieverwerking in veel gevallen noodzakelijk is. En beveiliging kan om meerdere redenen gerechtvaardigd zijn. Privacy heeft geen voorrang. De WBP verlangt alleen dat beveiliging en privacy met elkaar in evenwicht worden gebracht: geen beveiliging zonder bijpassende privacywaarborgen. Hoe dat moet, beschrijft de WBP aan de hand van enkele basisprincipes die neerkomen op risicoanalyse, kwaliteitsbeleid, regievoering, inspraak en beleidstransparantie. Door de basisprincipes te vertalen in evenwichtige oplossingen, verdienen beveiligers wettelijk license to operate. Toestemming van anderen is alleen nodig in uitzonderingsgevallen. Slechts voor de politie, het Openbaar Ministerie en nationale inlichtingendiensten gelden andere regels. Zo geldt voor de politie niet de WBP maar de Wet Politiegegevens, die vervolgens overigens toch weer veel lijkt op de WBP. DIGITALE DUURZAAMHEID Door die license to operate beschermt de WBP dus niet alleen personen maar ook informatieverwerkers – in dit geval beveiligers. In discussies over privacy wordt dat vaak over het hoofd gezien. Neem bijvoorbeeld drones. Zodra de inzet ervan behoorlijk, zorgvuldig en in overeenstemming met de wet is vormgegeven, is iedere privacydiscussie in strijd met de wet. De WBP is juist bedoeld om aan privacydiscussies een einde te maken. De wet leidt innovaties in goede banen en zet aan tot een aanpak die je “digitale duurzaamheid” zou kunnen noemen. Tegelijkertijd blijft de WBP een beveiligingswet, zoals blijkt uit de B van WBP. Daarbij gaat het niet zozeer om het afschermen van persoonlijke informatie (vertrouwelijkheid), maar om het beveiligen van mensen tegen de risico’s van de informatiemaatschappij door onbehoorlijke of onzorgvuldige informatieverwerking. Kleine fouten kunnen grote gevolgen hebben. Exemplarisch was de vergissing van de politie in 2002 om iemand per abuis te registreren als drugscrimineel. Die kleine administratieve handeling bleek vervolgens niet meer te kunnen worden rechtgezet, want data leidt vaak een eigen leven in computernetwerken – vandaar ook dat informatie op internet vrijwel onuitwisbaar is. Het effect van de fout was dat de persoon in kwestie vervolgens vijftien jaar lang door justitie-instanties werd lastiggevallen. Want organisaties vertrouwen op hun informatievoorzieningen. Iets vergelijkbaars overkwam de Russische asielzoeker Dolmatov, die het land dreigde te worden uitgezet en in zijn cel zelfmoord pleegde. De Inspectie Veiligheid en Justitie stelde naderhand het falen vast van mensen en systemen. DIRECTIEVERANTWOORDELIJKHEID Natuurlijk zijn dit extreme voorbeelden, maar ze illustreren de keerzijden van beveiliging. En dat is waartegen de WBP bescherming biedt. De WBP verplicht zowel beveiligers als hun opdrachtgevers om te waarborgen dat problemen worden voorkomen of anders worden opgelost. Daar hebben beveiligers zelf ook alle belang bij, want niemand zit te wachten op onbetrouwbare info en fouten. De wettelijke opdracht is geformuleerd als directieverantwoordelijkheid. Bij verzuim is het ook de directie die ter verantwoording kan worden geroepen en aansprakelijk is. De WBP kent benadeelde personen direct schadevergoeding toe. De rechter komt er hooguit aan te pas als een organisatie onwillig is. 15 WET- EN REGELGEVING Bovendien heeft iedereen het recht om beklag doen bij de staatstoezichthouder, het College Bescherming Persoonsgegevens (CBP). REKENSOM Een rekensom is snel gemaakt. Wanneer 100 personen 100 euro schadevergoeding claimen, is dat een schadepost van 10.000 euro – nog los van de kosten van claimafhandeling, foutherstel en de reputatieschade die een organisatie oploopt. De schade wordt verergerd wanneer het tot een rechtszaak komt of het CBP besluit tot nader onderzoek en handhaving. Momenteel vinden er wijzigingen van de WBP plaats, waardoor op verwaarlozing van privacyverplichtingen binnenkort bovendien boetes komen te staan van 450.000, respectievelijk 780.000 euro. Vanaf 2017, wanneer de WBP is vervangen door een nieuwe EUbrede privacywet, lopen de boeterisico’s mogelijk verder op tot 100 miljoen euro of 5 procent van de jaaromzet – welk bedrag maar het hoogste uitvalt. Privacywetgeving verbiedt zelden een aanpak maar verschaft juist legitimiteit Sindsdien voert het bedrijf een integraal privacybeleid en draagt dat maatschappelijk ook uit. Zo belooft KPN op haar website: ‘Klanten kunnen erop rekenen dat bij KPN privacy en veiligheid prioriteit hebben. (…)Bij dilemma’s gaan we de dialoog aan met onze klanten. Wij zijn transparant over wat we met de gegevens van onze klanten doen, en waarom. (…) Het Privacy Statement is een harde afspraak met onze klanten, waaraan wij ons houden. (…)’ MEERVOUDIGE BUSINESS CASE DO’S AND DONT’S Voor zowel opdrachtgevers als beveiligers is er dus een meervoudige business case voor privacy: 1. license to operate verdienen; 2. duurzame oplossingen; 3. risicomanagement. Privacywetgeving bevat praktische do’s and dont’s maar het is vaak lastig om door de bomen het bos te zien. Een veel voorkomende reflex is privacy juridisch op te lossen maar dat is vaak juist contraproductief. Voor privacy bestaat dan ook steeds meer belangstelling – temeer omdat een organisatie zich met de eerste twee punten positief kan onderscheiden. Een goed voorbeeld is KPN. De telecomaanbieder kwam door een aantal incidenten landelijk in opspraak. Geheel volgens de good governance-principes van de WBP trok de KPN-directie privacy vervolgens naar zich toe. De kunst is om praktisch te blijven (‘Privacy by Default/Privacy by Design’), en dat vereist een multidisciplinaire aanpak. Voor advies en monitoring wordt in de WBP aanbevolen om een onafhankelijke ‘privacy officer’ te betrekken, wat meteen ook extra vertrouwen oplevert van het CBP. Vanaf 2015 is een privacy officer bij grootschaligere informatieverwerking verplicht. Voordeel doen met privacy vergt niet zozeer extra inspanningen maar is vaak een kwestie van de zaken anders aanpakken en goede communicatie daarover. Zo stel je opdrachtgevers gerust en bevorder je ook maatschappelijk begrip en draagvlak. Brancheorganisaties zouden hun leden kunnen helpen door middel van gemeenschappelijke diensten, kennisdeling, richtsnoeren of benchmarking. n Mr. S.H. Katus adviseert over nakoming van privacywetgeving. Hij is partner bij Privacy Management Partners (www. pmpartners.nl). Dit artikel is een bewerking van het hoofdstuk “Hoe doe je je voordeel met privacy?” uit het Jaarboek Beveiliging Totaal 2014, Vakmedianet, ISBN 978 9462151086 16 | S E C U R I T Y M A N AG E M E N T | 1/2 2014
© Copyright 2024 ExpyDoc