Terugblik en vooruitblik op Privacy en de AVG

In mei 2018 hebben we allemaal kennis gemaakt met de AVG; via het nieuws, via e-mail en ook op de websites kon je er niet omheen. Door de invoering van de AVG worden privacy en security steeds meer organisatiebreed gedragen. Het staat op de agenda's. In dit overzicht blikken we terug en kijken we vooruit op de AVG in Nederland gezien vanuit het perspectief van Pinewood.

Terugblik

Als we kijken naar de geest van de wet is de AVG bedoeld om de privacy van de burger te beschermen. De burger moet door middel van deze wet inzicht krijgen en controle uit kunnen oefenen op wat er precies met zijn/haar persoonsgegevens gebeurt. De wet stelt strenge eisen, maar geeft ook ruimte voor het invullen van die eisen. Er zijn inmiddels redelijk creatieve oplossingen langs gekomen om aan de AVG te voldoen.

De wet stelt voor sommige organisaties in Nederland een functionaris gegevensbescherming (FG) en een register van verwerkingen verplicht. De FG is verplicht voor organisaties met meer dan 250 medewerkers, overheidsinstellingen én organisaties waarbij een groter privacyrisico heerst (zoals ziekenhuizen of marketingbureaus die grote hoeveelheden persoonsgegevens verwerken). De FG moet, onafhankelijk van de organisatie, toezien op het naleven van de privacyregels binnen de organisatie. Bij een eerste inspectie van de Autoriteit Persoonsgegevens bleek dat bij 25% van de gecontroleerde ziekenhuizen en zorgverzekeraar nog geen FG was aangesteld (bij de overheid was dit 4%). Inmiddels hebben deze organisaties allemaal een FG aangesteld.

De AVG bracht aan het licht dat het implementeren van technische maatregelen voor organisaties lastig is. De groeiende behoefte aan inzicht en controle op acties binnen de IT infrastructuur betekent dat organisaties aan de slag moeten met  centrale logging, monitoring en incident response. De Nationale Politie werd een dwangsom opgelegd van 40.000 euro, omdat zij dit niet op tijd kon inrichten. Ook bij de Belastingdienst levert het verhogen van controle op het gebruik van persoonsgegevens problemen op. Trouw berichtte dit jaar dat het onmogelijk is om binnen de overheidorganisatie te controleren wie persoonsgegevens benadert. Steeds meer organisaties besteden centrale logging, monitoring en incident response uit. De vraag naar een Security Operations Center (SOC) neemt toe. Bij Pinewood richten we ons SOC zodanig in dat onze klanten te allen tijde inzicht en grip hebben op hun Informatiebeveiliging & Privacy. Hierbij nemen wij de normen zoals ISO27001 en NEN7510 in acht.

Een veelbesproken onderwerp zijn de boetes. Boetes zijn het hete hangijzer, waardoor privacy en informatiebeveiliging het onderwerp van gesprek werden binnen de management- en bestuurslagen van organisaties. Er wordt geschermd met boetes van maximaal 20 miljoen euro, of 4% van de jaaromzet. Ons advies hiervoor is proactief aan de slag te gaan met het opstellen van beleid en procedures. Dit jaar is gebleken dat waar de naleving van de AVG niet op orde was, de Autoriteit Persoonsgegevens inderdaad actie onderneemt. Er zijn boetes uitgedeeld waar getracht is een datalek te verhullen (600.000 euro boete voor Uber) of geweigerd inzage te verlenen in persoonsgegevens (dwangsom van 48.000 euro voor een bank).

Vooruitblik

Voorspellingen uit 2017 over boetes en maatschappelijke aandacht voor partijen als Facebook en Google zijn dit jaar uitgekomen. Voor 2019 zijn er eveneens een aantal voorspellingen gedaan:

  • Organisaties worden steeds afhankelijker van Cloudproviders. Hierdoor komen deze onder een vergrootglas te liggen. Het DPIA (Data Protection Impact Assessment) dat Rijkswaterstaat liet uitvoeren op de Office365-omgeving van Microsoft is daar een mooi voorbeeld van. Je kan erop rekenen dat komend jaar een grote provider een fikse boete krijgt naar aanleiding van een misstap.
  • Internationale spanningen hebben een blijvende impact. We zagen dit jaar al dat merken als Huawei of Kaspersky onder vuur kwamen te liggen. Binnen ons Security Operations Center zien we al langer dat internationale actoren naar aanleiding van het nieuws aandacht schenken aan Nederlandse bedrijven. Dankzij meer polarisatie in de internationale politiek kunnen fabrikanten en leveranciers uit steeds meer hoeken plotseling taboe worden.
  • Meer boetes en dwangsommen zullen volgen. De Autoriteit Persoonsgegevens heeft 10.000 klachten (en groeiend) om mee aan de slag te gaan.

Aan de werkwijze van het AP te zien is dat bewustzijn van de regels rondom het inzagerecht en datalekken voor organisaties van groot belang is. Bij AVG adviestrajecten gebruikt Pinewood een tweesporenaanpak: Zijn alle persoonsgegevens in kaart gebracht en welke maatregelen worden genomen om deze te beschermen? Zo helpen we ook in 2019 klanten om controle terug te krijgen over privacy- en securityrisico’s.