Privacy Opiniestuk

Onlangs is er in overheidsland weer reuring ontstaan over het gebruik van Microsoft-producten. Uit een DPIA voor de Rijksoverheid, uitgevoerd door Privacy Company, is gebleken dat ondanks eerdere aanbevelingen, toezeggingen en verbeteringen er nog steeds privacyrisico’s aan de orde zijn. Ik verwijs hiervoor graag naar de publicaties die hieromtrent zijn gedaan om niet in herhaling te vervallen. Laat ik beginnen met de opmerking dat ik deze risico’s niet in twijfel trek en dat deze zeker aandacht behoeven. Bovendien, zo adviseert Privacy Company, gelden deze risico’s voor álle bedrijven, niet enkel die in de overheidssector. Logisch natuurlijk, want wie gebruikt er tegenwoordig geen Microsoft-diensten? Graag stel ik de vraag: is deze focus op Microsoft en hun tekortkoming wel verstandig?

Ligt de privacy focus wel op de juiste plek?

De uitkomsten van het onderzoek worden veelvuldig overgenomen door allerlei media. Centraal staan daarbij de zaken die Microsoft moet aanpassen in haar dienstverlening om beter te kunnen voldoen aan de wetgeving. Als buitenstaander krijg ik de indruk dat Microsoft betrokken is bij het vraagstuk en niet onwelwillend aanpassingen doorvoert aan de dienstverlening. Bovendien – wederom als relatieve buitenstaander – heb ik het idee dat Microsoft heel veel zaken wél goed op orde heeft. De vraag die ik hierbij aan de orde wil stellen is: zouden organisaties er niet beter aan doen om eerst hun eigen gegevenshuishouding op orde te krijgen? Enige tijd geleden heb ik geschreven over de stand van zaken binnen bedrijven voor wat betreft hun privacyorganisatie. Afgezet tegen het 10-stappenplan van de Autoriteit Persoonsgegevens was mijn conclusie dat maar weinig organisaties daadwerkelijk hun privacyorganisatie geborgd hadden. Wel afgevinkt, niet geborgd.

Risico’s van het niet juist borgen van privacy binnen de organisatie

In de praktijk zorgt het gebrek aan borging voor allerlei risico’s. Een gevuld register van verwerkingen dat 24 mei 2018 voor het laatst is bijgewerkt betekent dat een organisatie geen volledig zicht heeft op de persoonsgegevens die zij verwerkt en dus niet kan bepalen of voldoende maatregelen zijn getroffen voor bescherming ervan. De verwerkersovereenkomsten die wél zijn gesloten, worden niet gecontroleerd op naleving, waardoor geen zekerheid bestaat over de betrouwbaarheid van de geleverde diensten. Mooie voornemens en richtlijnen uit het privacybeleid worden niet of nauwelijks toegepast in de dagelijkse praktijk van gegevensverwerking. De in de DPIA genoemde risico’s rondom het gebruik van Microsoft-diensten vallen ook ergens in dat lijstje (al was het maar naleving van verwerkersovereenkomsten).

Kies de juiste focus voor uw organisatie

We kunnen dus wijzen naar Microsoft waar we zo afhankelijk van zijn, maar net zoals het milieu, begint een betere omgang met persoonsgegevens bij jezelf. Nog specifieker, bij diegene die iedere dag de persoonsgegevens in zijn of haar handen heeft; de medewerker die vaak nog geen idee heeft hoe in de praktijk om te gaan met gegevens omdat eerdergenoemde richtlijnen niet zijn uitgewerkt. Waar moet ik gegevens opslaan? Wat moet ik met gegevens doen als ik ze niet meer nodig heb? Hoe lang mag ik gegevens bewaren? Moet ik nu mijn mailbox gaan opschonen? Hoe kan ik gegevens delen met mijn collega, de klant, cliënt of onze leverancier? Welke gegevens mag ik vragen van de klant? Allemaal basale, alledaagse, praktische vragen! Ik kom maar weinig organisaties tegen waar deze niet worden gesteld. Dat kan allerlei oorzaken hebben, maar uiteindelijk wijst het op onvoldoende borging van de privacyorganisatie.

Concluderend wil ik aangeven dat organisaties de risico’s van gebruik van Microsoft-diensten zeker niet moeten negeren. Laat het adresseren van die risico’s, zo schrijft ook Privacy Company, echter vooral over aan vakorganisaties. Dus nogmaals: een betere (borging van) privacy begint bij jezelf!

Over de auteur

Tim Florack is mede-oprichter van Cuccibu, een consultancy bedrijf op gebied van privacy, informatiebeveiliging, cyber security en IT-risk gevestigd in Eindhoven.