Privacy: De AVG? Wij verzekeren ons wel


In deze blogreeks over privacy ga ik in op de verschillende onderdelen van een goed privacy management framework. Uitgebreide juridische verhandelingen laat ik zoveel mogelijk achterwege. Graag geef ik je een aantal praktische handvatten om te komen tot een verantwoorde omgang met persoonsgegevens.

Hoewel ik het vorige blog had aangegeven deze keer de zogenoemde generieke IT controls (GITC) te behandelen, schuif ik dat onderwerp door naar een volgend blog.

Ik ga deze keer een ander dilemma behandelen wat ik meer en meer opvang in de “wandelgangen”.

De AVG? Wij verzekeren ons wel.

Er gaan op verschillende plaatsen discussies rond met als strekking deze stelling. In deze blog een betoog waarom dit moreel (en juridisch) een verwerpelijk standpunt is. En daarmee hoop ik wat munitie te geven aan een ieder die hier tegenaan loopt.

Voldoen aan wet en regelgeving

Een wet is een algemeen bindend voorschrift, alle personen (juridisch en natuurlijk) moeten voldoen aan de voor hun geldende wet- en regelgeving. Het is ook raar om, als je onderdeel uit maakt van een maatschappij, je de door deze maatschappij opgestelde voorschriften bewust negeert. Er is dus een argument te maken van het beroep op de moraliteit.

Als natuurlijk persoon doen we dat ook af en toe, en daarvoor krijgen we dan ook nog wel eens een tik op de vingers in de vorm van een transactievoorstel van het CJIB. Voor bedrijven kan het een keuze zijn om bepaalde wet- en regelgeving niet te volgen. Er zijn zat voorbeelden, maar bijna geen een van deze voorbeelden heeft betrekking op een zeer geslaagd en succesvol bedrijf. Meestal worden deze bedrijven in 1 zin genoemd met het woord het schandaal erbij. Het kan natuurlijk een bewuste keus zijn van de bedrijfsleiding, wij gaan niet voldoen aan (en vul hier maar een wet in). Maar breng dan in herinnering hoe goed het afgelopen is met de topmannen van bedrijven als Enron en Volkswagen. Het willens en wetens niet voldoen aan de wet kan gezien worden als een verwijtbare onrechtmatige daad en daarmee als een strafbaar feit. Het is dus zaak om, al is het maar voor de bewustwording, de beslissing te laten vastleggen.

Een andere (onjuiste)stelling die ik heb opgevangen om niet te hoeven voldoen aan de AVG is, onze hoofdvestiging bevindt zich buiten de Europese Unie, dus wij hoeven hier niet aan te voldoen. De reikwijdte van de AVG is niet alleen bedrijven gevestigd binnen de Europese Unie maar ook als gegevens van burger uit de Europese Unie worden verwerkt.

Boete verzekerbaar?

Het verzekeren van boetes is in strijd met de goede zeden (Volgens artikel 3:40 van het Burgerlijk Wetboek). Het is dus wettelijk niet toegestaan. Een verzekering kan wel helpen juridisch kosten of kosten die gemaakt worden bij het repareren van een datalek te beperken. Vooral juridische kosten kunnen oplopen, er is namelijk de mogelijkheid dat een betrokkene van wie gegevens gelekt zijn de lekkende partij aansprakelijk stelt voor de negatieve gevolgen. Hiernaast kunnen de kosten bij een groot datalek snel oplopen. Maar het verzekeren tegen een boete kan dus niet. Een bestuurder die er bewust voor kiest om toch de verzekeringskant op te gaan en geen maatregelen te nemen ter voorkoming van een datalek/onrechtmatige verwerking heeft dus de kans tegen de hoogste boete aan te lopen die het AP nu kan uitdelen. Als het afsluiten van een enige vorm van cyberrisico verzekering overigens helpt bij het oplossen van een datalek, is dat waarschijnlijk wel weer aan te merken als het uitgevoerd hebben van een juiste zorg, en daarmee voor de AP ook een reden om niet direct een hoge boete uit te delen. Er kan dan waarschijnlijk worden aangetoond dat er alles wat redelijk is, is gedaan om de gevolgen zo klein als mogelijk te houden. Voor de betrokken bestuurders is er nog een addertje onder het gras. Het zou kunnen dat zij, wederom bij het bewust negeren van de wetgeving, persoonlijk kunnen worden aangesproken in een civiel rechtelijke zaak. Het is niet ondenkbaar dat in zo’n geval de bestuurder aansprakelijkheid op grond van een onrechtmatige daad kan worden verweten. Immer de bestuurder heeft rechtstreeks onzorgvuldig gehandeld tegenover een derde.

Toezichthouders?

Hoewel alle aandacht natuurlijk in dit kader uitgaat naar de autoriteit persoonsgegevens, zijn er veel meer toezichthouders die voor specifieke marktsegmenten toezicht houden. Voor een behoorlijk aantal sectoren zijn er naast de AP nog andere toezichthouders die in sommige gevallen zelfs goedkeuringen geven voor de uitvoering van het bedrijf. Ook deze toezichthouders kunnen erg geïnteresseerd zijn in het al of niet door de organisatie voldoen aan wet en regelgeving en zij kunnen in het uiterste geval zelf vergunningen intrekken. Hiervoor bestaat volgens mij ook geen verzekering. Als voorbeeld, als het bestuur van een zorginstelling bewust er voor kiest om geen aandacht te schenken aan de AVG, kan dat een aanleiding zijn voor de inspectie voor de gezondheidszorg om “aandacht” te geven aan de instelling. En meestal is het niet fijn voor een organisatie als een rijksinspectie “aandacht” gaat geven.

Hiernaast heeft het AP de mogelijkheid om, net als de ACM onder de Mededingingswet de mogelijkheid om een boete niet op te leggen aan de juridische persoon maar aan de feitelijk leidinggevenden.

Dit is als volgt toegelicht: Bij een rechtspersoonlijkheid bezittende onderneming is de rechtspersoon de verantwoordelijke in de zin van de Wbp. Aangezien de verantwoordelijke in de zin van de Wbp de drager is van rechten en verplichtingen, ligt het voor de hand dat het Cbp in geval van overtreding door een rechtspersoon (verantwoordelijke) de rechtspersoon daarvoor een bestuurlijke boete oplegt. Dit neemt echter niet weg dat daarnaast of plaats daarvan natuurlijke personen binnen deze rechtspersoon kunnen worden beboet indien zij feitelijk leiding hebben gegeven respectievelijk opdracht hebben gegeven tot het verrichten van de verboden gedraging en hebben nagelaten om maatregelen te treffen ter voorkoming van een verboden gedraging en daarmee bewust de kans wordt aanvaard dat deze gedraging zal plaatsvinden. Deze natuurlijke personen kunnen bestuurders zijn van de onderneming, maar het kunnen ook andere personen zijn binnen de organisatie.

Overheid

En als laatste de overheid. Voor een overheidsorgaan is het makkelijk, zij hebben geen keuze maar moeten voldoen aan de Nederlandse wet. Niet alleen vallen de overheidsorganen ook onder verschillende inspecties en kunnen deze, naast bestuurlijke aanwijzingen en/of dwangmaatregelen ook diverse politieke en juridische instrumenten inzetten om een overheidsorgaan te dwingen tot het implementeren van de AVG.

Compliancy

Dit gezegd hebbende, er kan natuurlijk wel een goede reden zijn om (delen van de) AVG niet in te voeren. Er zijn, zoals in eerdere blogs al beschreven, uitzonderingen op de reikwijdte van de AVG en er is binnen een volwassen bedrijfsstrategie vaak een compliancy proces te vinden. Het Engelse werkwoord ‘to comply’ betekent ‘voldoen’ of ‘naleven’. De term ‘compliance’ wordt gebruikt om de naleving van wet- en regelgeving te beschrijven. Hiernaast kan er uit een analyse van de informatiestromen komen dat er geen verwerking van persoonsgegevens is. Ook het invoeren van de AVG en de daarmee samenhangende maatregelen moeten risico gedreven zijn. Dit betekent dus ook dat, als er weinig risico’s voor negatieve gevolgen op de persoonlijke levenssfeer van betrokken zijn, er ook een passende hoeveelheid maatregelen gekozen mag worden.

Samenvattend.

Het voldoen aan de AVG is geen keuze, het moet. Verzekeren kan niet. Er zijn wel keuzes te maken in het gewicht van maatregelen.

De volgende keer

In mijn volgende blog ga ik wel in op de zo genoemde generieke IT controls, en hoe deze passen binnen het beschermen van de persoonsgegevens.

DEEL DIT ARTIKEL
VOLG ONZE BLOGS

Gerelateerde blog artikelen

  • Controle is van gisteren, vertrouwen is van nu

    Het Security team van inspearit hanteert als motto “Sturen op vertrouwen, bouwen aan vertrouwen”. Die nadruk op vertrouwen, dat klinkt vreemd voor een team dat zich met security bezig houdt.

    Lees verder
  • Informatiebeveiliging uit een doosje?

    Hoe komt het toch dat er nog steeds een trend lijkt te bestaan dat informatiebeveiliging kan worden gekocht door een mooi nieuw doosje of product aan te schaffen? Het zou natuurlijk ook mooi zijn als die belofte eindelijk bewaarheid zou kunnen worden, maar ik zie steeds meer parallellen met de verkooptrucjes van allerlei prullaria die overdag op TV worden verkocht.

    Lees verder
  • ​Privacy: De wettelijke kaders voor de verwerking (vervolg)

    Dit is al weer het vijfde deel. We zijn gevorderd tot artikel 6 van de Algemene Verordening Gegevensbescherming (AVG), de rechtmatigheid van de verwerking. Wat er moet worden bepaald voor dat er sprake mag zijn van verzamelen en verwerken van persoonsgegevens.

    Lees verder
  • ​Privacy: Stand van zaken

    Tijdens deze blog gaat Jacques Eding het hebben over zijn bemerkingen rondom privacy nu we nog minder dan een jaar hebben voordat we aantoonbaar in control en compliant moeten zijn aan de Algemene Verordening Gegevensbescherming (AVG).


    Lees verder
  • Privacy: Bewaartermijnen uitgelegd

    In deze blog over privacy gaat Jacques Eding in op de verschillende onderdelen van een goed privacy management framework.

    Lees verder
  • Privacy: Wat is een Functionaris Gegevensbescherming?

    We zijn aangekomen bij deel zes van de blog serie. Zoals vorige week aangekondigd wordt deze blog weer iets praktischer van aard.

    Lees verder
  • Privacy: wat is nu eigenlijk een persoonsgegeven?

    Jacques Eding blogt over privacy: Wat is nu eigenlijk een persoonsgegeven en waarom zijn er specifieke regels bedacht voor die gegevens?

    Lees verder
  • Privacy: Wat betekent “verwerken”?

    Jacques Eding blogt over privacy: Wanneer ben ik nu persoonsgegevens aan het verwerken en wanneer ook niet?

    Lees verder
  • Privacy: Wat mag er eigenlijk verwerkt worden?

    Jacques Eding blogt over privacy: Wanneer mogen persoonsgegevens nu eigenlijk verwerkt worden?

    Lees verder
  • ​Privacy: De wettelijke kaders voor de verwerking

    In dit vierde deel behandel ik weer meer formele insteek, wat er moet worden bepaald voordat er sprake mag zijn van verzamelen en verwerken van persoonsgegevens. Ik ga verder met doelbinding, grondslagen voor verwerking en de begrippen proportionaliteit en subsidiariteit.

    Lees verder