‘Commissarissen moeten aansturen op een noodplan’

Interview
Marc Elshof (Boekel De Nerée) over privacy compliance en bescherming van persoonsgegevens
 
Beveiligingslekken, verontwaardigde klanten en forse schadeclaims: Big Data vraagt om een doortimmerd beleid voor privacy compliance, aldus Marc Elshof, advocaat bij Boekel De Nerée. ‘Commissarissen moeten toetsen of bestuurders alert zijn op kansen én bedreigingen.’
 
Big data, big trouble? Onlangs heeft een aantal organisaties aan den lijve ondervonden dat het verzamelen en beheren van persoonsgegevens niet alleen business opportunities schept, maar ook grote risico’s op het gebied van privacy met zich meebrengt. Zo kreeg de vernieuwde bonuskaart van Albert Heijn vorig jaar kritiek vanwege de vergaande koppeling van persoonsgegevens aan het aankoopgedrag: wie bijvoorbeeld vaak witte wijn en drop koopt, krijgt voortaan aanbiedingen op maat voor die producten van de supermarktketen. Overigens moet de bonuskaarthouder  daarvoor wel eerst toestemming geven, bedong het College Bescherming Persoonsgegevens. Wat weer leidde tot nieuwe kritiek: wie zich niet registreert, loopt immers ook alle aangeboden voordeeltjes mis. Geen klantgegevens? Dan ook geen extra korting. En daarbij ging het alleen nog maar om intern gebruik van persoonlijke data, want Albert Heijn heeft beloofd de gegevens niet aan derden te verkopen. ING maakte onlangs bekend klantgegevens juist wél commercieel te willen gaan uitbaten, bijvoorbeeld door andere bedrijven inzicht te verschaffen in het betaalgedrag van rekeninghouders. Na grote maatschappelijke verontwaardiging trok de bank het plan echter snel weer in. En dan is er nog het beveiligingsvraagstuk van de beheerde persoonsgegevens. Telecomaanbieder Ziggo moest  klanten onlangs waarschuwen, nadat hackers de inloggegevens hadden weten te stelen van zo’n  tweeduizend e-mailadressen. 

Hoog tijd dus voor een doortimmerd ondernemingsbeleid voor persoonsbescherming én goed toezicht daarop van alerte commissarissen, aldus Marc Elshof, als advocaat verbonden aan Boekel De Nerée en gespecialiseerd in privacy- en IT-kwesties.

Zijn bestuurders en commissarissen zich voldoende bewust van het belang van privacy compliance: het voldoen aan de wettelijke en maatschappelijke eisen op het gebied van bescherming van persoonsgegevens?

‘Privacyvraagstukken werden altijd gezien als lastig en weinig interessant. Maar de recente incidenten op dit gebied hebben veel bestuurders de ogen geopend voor de forse risico’s van privacyproblemen voor merk en reputatie. Het is hoger op de agenda gekomen, ook bij commissarissen. Die lezen immers ook de krant en zullen na berichtgeving over een beveiligingslek of maatschappelijke kritiek bij andere organisaties al snel vragen: hoe zit dat bij ons? Commissarissen bewaken de continuïteit en de reputatie van de organisatie. Ze moeten er dus op toezien dat bestuurders voldoende aandacht aan bescherming van persoonsgegevens besteden. Daarnaast hebben ze een meedenkrol: wat is de juiste balans tussen marktkansen en maatschappelijke gevoeligheid ten aanzien van privacy?’

Welke gerichte vragen moeten commissarissen stellen?

‘Ze moeten allereerst vragen of de organisatie een beleid heeft voor bescherming van persoonsgegevens, als onderdeel van de bredere compliance: welke persoonsgegevens worden opgeslagen, hoe worden deze verwerkt, hoe lang worden ze bewaard en wanneer worden ze weer verwijderd? En ook: hoe beveilig je die gegevens? Organisaties moeten zorgen voor een “passend” beveiligingsniveau. Wat passend is, is afhankelijk van de stand van de techniek, de kosten van beveiliging en de aard van de gegevens. Daarbij gaat het zowel om technische aspecten, zoals encryptie en anonimiseren, als om organisatorische maatregelen, zoals de vraag wie toegang heeft tot welke gegevens. De te nemen maatregelen moeten proportioneel zijn. Het ligt op de weg van de commissarissen om - in het belang van alle stakeholders - erop aan te sturen dat het bestuur het privacybeleid nauwlettend monitort en regelmatig toetst,.’

En als het desondanks misgaat met de beveiliging, zoals laatst bij Ziggo?  

‘Commissarissen moeten aansturen op een noodplan voor dergelijke situaties. Aanbieders van openbare elektronische communicatiediensten en financiële instellingen hebben onder omstandigheden nu al de plicht om een datalek, dat wil zeggen: een inbreuk op de beveiliging met nadelige gevolgen voor de bescherming van persoonsgegevens van klanten, binnen een bepaalde termijn te melden aan de toezichthouder en de klanten. Er ligt inmiddels een wetsvoorstel om die meldplicht uit te breiden naar alle organisaties. Bovendien is er op dit punt Europese regelgeving in voorbereiding. Organisaties moeten dus snel en adequaat kunnen reageren als er iets misgaat. Het is verstandig om een team klaar te hebben staan dat direct in actie kan komen bij een datalek. Zo’n team kan bijvoorbeeld bestaan uit pr-adviseurs, juristen, IT-specialisten, bestuurders en toezichthouders. Het is goed om de zwaarte en de samenstelling van het team vooraf te bepalen, zodat bij een crisis direct gehandeld kan worden. De belangen zijn immers groot. In de Verenigde Staten hebben organisaties bijvoorbeeld steeds vaker te maken met class actions: acties van groepen consumenten die schadevergoeding eisen wegens het schenden van hun privacy. Bij class actions gaat het vaak om hoge bedragen: Amerikaanse bedrijven proberen de zaak vaak snel te schikken om hun reputatie zo min mogelijk te schaden. Die trend zou heel goed naar Nederland kunnen overwaaien, zeker wanneer de meldplicht voor datalekken is uitgebreid.’ 

Schept een goed beleid voor persoonsbescherming ook zakelijke kansen?

‘Ja, door goede privacy compliance krijg je als organisatie meer grip op IT-systemen en de kosten daarvan en nemen de efficiency en de kwaliteit van de data toe. Als je je privacybeleid goed communiceert, creëer je het vertrouwen bij de consument dat je zorgvuldig met privacygevoelige informatie omspringt. Daardoor zullen klanten eerder bereid zijn om hun gegevens te verstrekken. Dat biedt de organisatie allerlei nieuwe marketingmogelijkheden, waardoor uiteindelijk concurrentievoordeel ontstaat. Het komt neer op een versterking van het imago, intern en extern, bij klanten én toezichthouders. Het is de taak van commissarissen om te toetsen of bestuurders voldoende alert zijn op die commerciële kansen en deze volledig benutten.’

Klik hier voor meer informatie. 

Auteur(s)
Marike van Zanten
Dit artikel is gepubliceerd in
GU2014mei

Nationaal Register

Jan van Nassaustraat 93
2596 BR Den Haag
T 070-324 30 91
info@nationaalregister.nl

Volg ons op social media

Governance Update nieuwsbrief