Voorkomen is beter dan genezen

WET- EN REGELGEVING
Privacy en beveiliging
Voorkomen is beter
dan genezen
Wie in de beveiliging actief is, bekijkt het thema privacy misschien met scepsis.
Toch is daar geen reden voor. Wie op de juiste manier omgaat met privacy, creëert
license to operate. Dat is niet alleen belangrijk voor beveiligers maar ook voor
opdrachtgevers. Via de privacywetgeving worden op dit ogenblik hoge boetes
geïntroduceerd. Voorkomen is daarom beter dan genezen.
tekst Sergej Katus
14 |
S E C U R I T Y M A N AG E M E N T | 1/2 2014
P
rivacy en beveiliging worden vaak
gezien als tegenpolen. Meest actueel is
de discussie over de activiteiten van de
Amerikaanse inlichtingendienst NSA.
Afgelopen november nog dagvaardde een coalitie
van privacyvoorvechters de Nederlandse Staat, omdat ook onze overheid van NSA-informatie gebruik
maakt. Andere discussies gaan over vliegende
camera’s (drones), de inzet van bodyscanners op
Schiphol, gezichtsherkenning, vingerafdrukken. Of
- op kleinere schaal - monitoring van e-mailverkeer,
surfgedrag of camerabewaking door werkgevers.
Met de wet in de hand wordt graag verteld wat er
allemaal niet mag. Maar is dat eigenlijk wel zo? In
dit artikel laten we zien dat privacywetgeving zelden
een aanpak verbiedt maar juist legitimiteit verschaft.
De belangrijkste privacywet, de Wet Bescherming
Persoonsgegevens (WBP), schrijft vooral regie en
kwaliteit voor.
LICENSE TO OPERATE VERDIENEN
De WBP is techniek-onafhankelijk. De wet bevat
geen voorschriften voor beveiligingsmethoden en
technieken als zodanig, maar stelt eisen aan de bijbehorende informatieverwerking. Zodra beveiligingsinformatie consequenties kan hebben voor personen
moet met de WBP rekening worden gehouden. Zo
niet dan is een beveiligingsaanpak illegaal, omdat de
informatieverwerking niet voldoet aan de eisen.
Dat is minder dramatisch dan het lijkt. De WBP
begint met de erkenning dat informatieverwerking
in veel gevallen noodzakelijk is. En beveiliging kan
om meerdere redenen gerechtvaardigd zijn. Privacy
heeft geen voorrang. De WBP verlangt alleen dat
beveiliging en privacy met elkaar in evenwicht worden gebracht: geen beveiliging zonder bijpassende
privacywaarborgen.
Hoe dat moet, beschrijft de WBP aan de hand van
enkele basisprincipes die neerkomen op risicoanalyse, kwaliteitsbeleid, regievoering, inspraak en beleidstransparantie. Door de basisprincipes te vertalen
in evenwichtige oplossingen, verdienen beveiligers
wettelijk license to operate. Toestemming van anderen
is alleen nodig in uitzonderingsgevallen.
Slechts voor de politie, het Openbaar Ministerie en
nationale inlichtingendiensten gelden andere regels.
Zo geldt voor de politie niet de WBP maar de Wet
Politiegegevens, die vervolgens overigens toch weer
veel lijkt op de WBP.
DIGITALE DUURZAAMHEID
Door die license to operate beschermt de WBP dus niet
alleen personen maar ook informatieverwerkers – in
dit geval beveiligers. In discussies over privacy wordt
dat vaak over het hoofd gezien. Neem bijvoorbeeld
drones. Zodra de inzet ervan behoorlijk, zorgvuldig
en in overeenstemming met de wet is vormgegeven, is
iedere privacydiscussie in strijd met de wet. De WBP
is juist bedoeld om aan privacydiscussies een einde
te maken. De wet leidt innovaties in goede banen en
zet aan tot een aanpak die je “digitale duurzaamheid”
zou kunnen noemen.
Tegelijkertijd blijft de WBP een beveiligingswet, zoals
blijkt uit de B van WBP. Daarbij gaat het niet zozeer
om het afschermen van persoonlijke informatie (vertrouwelijkheid), maar om het beveiligen van mensen
tegen de risico’s van de informatiemaatschappij door
onbehoorlijke of onzorgvuldige informatieverwerking. Kleine fouten kunnen grote gevolgen hebben.
Exemplarisch was de vergissing van de politie in 2002
om iemand per abuis te registreren als drugscrimineel.
Die kleine administratieve handeling bleek vervolgens
niet meer te kunnen worden rechtgezet, want data leidt
vaak een eigen leven in computernetwerken – vandaar
ook dat informatie op internet vrijwel onuitwisbaar is.
Het effect van de fout was dat de persoon in kwestie
vervolgens vijftien jaar lang door justitie-instanties werd
lastiggevallen. Want organisaties vertrouwen op hun
informatievoorzieningen. Iets vergelijkbaars overkwam
de Russische asielzoeker Dolmatov, die het land dreigde
te worden uitgezet en in zijn cel zelfmoord pleegde. De
Inspectie Veiligheid en Justitie stelde naderhand het
falen vast van mensen en systemen.
DIRECTIEVERANTWOORDELIJKHEID
Natuurlijk zijn dit extreme voorbeelden, maar ze
illustreren de keerzijden van beveiliging. En dat
is waartegen de WBP bescherming biedt. De WBP
verplicht zowel beveiligers als hun opdrachtgevers om
te waarborgen dat problemen worden voorkomen of
anders worden opgelost. Daar hebben beveiligers zelf
ook alle belang bij, want niemand zit te wachten op
onbetrouwbare info en fouten.
De wettelijke opdracht is geformuleerd als directieverantwoordelijkheid. Bij verzuim is het ook de directie
die ter verantwoording kan worden geroepen en
aansprakelijk is. De WBP kent benadeelde personen
direct schadevergoeding toe. De rechter komt er
hooguit aan te pas als een organisatie onwillig is.
15
WET- EN REGELGEVING
Bovendien heeft iedereen het recht om beklag doen
bij de staatstoezichthouder, het College Bescherming
Persoonsgegevens (CBP).
REKENSOM
Een rekensom is snel gemaakt. Wanneer 100 personen 100 euro schadevergoeding claimen, is dat een
schadepost van 10.000 euro – nog los van de kosten
van claimafhandeling, foutherstel en de reputatieschade die een organisatie oploopt. De schade wordt
verergerd wanneer het tot een rechtszaak komt of het
CBP besluit tot nader onderzoek en handhaving.
Momenteel vinden er wijzigingen van de WBP plaats,
waardoor op verwaarlozing van privacyverplichtingen
binnenkort bovendien boetes komen te staan van
450.000, respectievelijk 780.000 euro. Vanaf 2017,
wanneer de WBP is vervangen door een nieuwe EUbrede privacywet, lopen de boeterisico’s mogelijk
verder op tot 100 miljoen euro of 5 procent van de
jaaromzet – welk bedrag maar het hoogste uitvalt.
Privacywetgeving
verbiedt zelden
een aanpak maar
verschaft juist
legitimiteit
Sindsdien voert het bedrijf een integraal privacybeleid
en draagt dat maatschappelijk ook uit. Zo belooft
KPN op haar website:
‘Klanten kunnen erop rekenen dat bij KPN privacy en veiligheid prioriteit hebben. (…)Bij dilemma’s gaan we de dialoog
aan met onze klanten. Wij zijn transparant over wat we met
de gegevens van onze klanten doen, en waarom. (…) Het
Privacy Statement is een harde afspraak met onze klanten,
waaraan wij ons houden. (…)’
MEERVOUDIGE BUSINESS CASE
DO’S AND DONT’S
Voor zowel opdrachtgevers als beveiligers is er dus een
meervoudige business case voor privacy:
1. license to operate verdienen;
2. duurzame oplossingen;
3. risicomanagement.
Privacywetgeving bevat praktische do’s and dont’s maar
het is vaak lastig om door de bomen het bos te zien.
Een veel voorkomende reflex is privacy juridisch op te
lossen maar dat is vaak juist contraproductief.
Voor privacy bestaat dan ook steeds meer belangstelling – temeer omdat een organisatie zich met de
eerste twee punten positief kan onderscheiden. Een
goed voorbeeld is KPN. De telecomaanbieder kwam
door een aantal incidenten landelijk in opspraak. Geheel volgens de good governance-principes van de WBP
trok de KPN-directie privacy vervolgens naar zich toe.
De kunst is om praktisch te blijven (‘Privacy by Default/Privacy by Design’), en dat vereist een multidisciplinaire aanpak.
Voor advies en monitoring wordt in de WBP aanbevolen om een onafhankelijke ‘privacy officer’ te betrekken, wat meteen ook extra vertrouwen oplevert van
het CBP. Vanaf 2015 is een privacy officer bij grootschaligere informatieverwerking verplicht.
Voordeel doen met privacy vergt niet zozeer extra
inspanningen maar is vaak een kwestie van de zaken
anders aanpakken en goede communicatie daarover.
Zo stel je opdrachtgevers gerust en bevorder je ook
maatschappelijk begrip en draagvlak. Brancheorganisaties zouden hun leden kunnen helpen door middel
van gemeenschappelijke diensten, kennisdeling,
richtsnoeren of benchmarking. n
Mr. S.H. Katus adviseert over nakoming van privacywetgeving. Hij is partner bij Privacy Management Partners (www.
pmpartners.nl).
Dit artikel is een bewerking van het hoofdstuk “Hoe doe je je
voordeel met privacy?” uit het Jaarboek Beveiliging Totaal
2014, Vakmedianet, ISBN 978 9462151086
16 |
S E C U R I T Y M A N AG E M E N T | 1/2 2014