ICT-projecten hebben er vanaf 2016 een nieuw sluimerend risico bij: privacy. Wie zich dan niet aan de regels houdt, riskeert miljoenenboetes. Het verwerken van persoonsgegevens is namelijk geen recht, maar een licentie verborgen in wetgeving.
Als op 1 januari 2016 de nieuwe Wet bescherming persoonsgegevens ingaat, komt er een meldplicht voor datalekken. Dit betekent dat als er persoonlijke informatie over mensen uitlekt, dit in veel gevallen gemeld moet worden bij de Autoriteit persoonsgegevens (de opvolger van het CBP) en bij de mensen over wie de informatie gaat.
Dat lijkt logisch en simpel, maar is het niet. Datalekken komen in alle soorten en maten voor.
Een verloren USB-stick of een besmetting met malware zouden prima onder de definitie kunnen vallen als er toegang tot persoonsgegevens is. Ondertussen kan een gehackte database met persoonsgegevens vrijgesteld zijn van een meldplicht, als de gegevens hoogwaardig versleuteld zijn. Het is dus niet zwart-wit.
Daarnaast kan een datalek tot veel extra vragen leiden. Zo is een lek in veel gevallen een symptoom van een groter probleem: de gegevens zijn niet volgens de regels van de wetgever beveiligd. Ook blijkt een hack soms als een duveltje uit een doosje te komen, omdat een organisatie zich simpelweg niet realiseert dat er nog ergens data werden bewaard.
De vele computersystemen met persoonsgegevens kunnen een behoorlijk blok aan het been vormen. Er moet over veel zaken worden nagedacht. Naast het regelen van de correcte beveiliging moet ook worden bekeken of de betrokken personen op de hoogte zijn van wat er met de gegevens gebeurt, er toestemming is gegeven, het doel van de verwerking overeenkomt met wat er echt gebeurt, enzovoort.
Vooral bij oudere systemen is dat ingewikkeld en bij nieuwe systemen moet daarbij vooraf al worden stilgestaan. Eigenlijk ontkomt de organisatie niet aan het houden van een goede privacy impact assessment (PIA) en aanvullende risicoanalyses om het plaatje helder te krijgen. Pas dan wordt duidelijk waar de organisatie tekortschiet en moet met die informatie snel gehandeld worden.
Vanaf 1 januari 2016 worden overtredingen bestraft met een boete van maximaal € 810.000 per overtreding. In het geval van grove nalatigheid of opzet mag deze direct worden opgelegd, gevolgd door een bindende aanwijzing. Wie die niet opvolgt riskeert nieuwe boetes. In de andere gevallen is het opvolgen van de bindende aanwijzing de truc om nog onder een straf uit te komen.
De pijn zit in de bindende aanwijzing waarbij de Autoriteit persoonsgegevens opdrachten geeft ict-systemen aan te passen en daarbij een tijdsschema oplegt. De kosten van zulke wijzigingen zouden de prijs van één of meerdere boetes wel eens kunnen overstijgen. Zo’n sluimerend risico zit verborgen in de licentie om persoonsgegevens te mogen verwerken en dus in business te blijven.
