Selecteer een pagina
Home » Kansen & Risico's » Zo bereid je je volgens expert Machteld Hiemstra voor op GDPR

Zo bereid je je volgens expert Machteld Hiemstra voor op GDPR

door

Big data is voor financials cruciaal om de dienstverlening te verbeteren, maar vraagt om een strategische visie op risico’s. Zeker met de nieuwe privacywetgeving GDPR. “Laat die visie niet over aan de IT-afdeling”, zegt advocaat Machteld Hiemstra.

Wat te doen als een hacker klantgegevens steelt? Of een medewerker een usb-stick met persoonsgegevens verliest? Het doornemen van dergelijke rampscenario’s is een belangrijk onderdeel van het werk van advocaat Machteld Hiemstra van advocatenkantoor Simmons & Simmons. Hiemstra en het kantoor bouwden in de afgelopen jaren internationale expertise op het gebied van privacybescherming op. Niet voor niets. Met de toenemende hoeveelheden klantendata die bedrijven verzamelen, stijgt de kans dat privacygevoelige informatie op straat belandt. Boetes en reputatieschade zijn het gevolg. Zeker nu de nieuwe privacywetgeving (met name GDPR) strengere eisen stelt aan ondernemingen die data van klanten verzamelen en verwerken.


Advocaat Machteld Hiemstra: “In de afgelopen jaren stonden de deuren wagenwijd open om klantgegevens te verzamelen.” 

GDPR of AVG

Vanaf 25 mei 2018 moeten alle organisaties voldoen aan nieuwe Europese privacywetgeving; de General Data Protection Regulation (GDPR). In Nederland wordt het de Algemene Verordening Gegevensbescherming (AVG) genoemd. De nieuwe wet breidt de privacyrechten van burgers uit en legt meer verplichtingen op aan organisaties die persoonsgegevens verwerken. De boetes zijn substantieel; tot €20 miljoen of vier procent van de wereldwijde jaaromzet.

Voorbereid op nieuwe wet

Hiemstra merkt dat veel financials zich voorbereiden op de nieuwe wetgeving. “Bedrijven willen de privacyregels zo goed mogelijk volgen. Iedereen weet dat onzorgvuldige omgang met data geen businessmodel is. Niemand wordt daar beter van.” Iets dat de omvangrijke hack van slecht beveiligde data bij de Amerikaanse kredietbeoordelaar Equifax pijnlijk duidelijk maakt. Hiemstra helpt bedrijven bij de voorbereiding op de nieuwe wetgeving. “Bedrijven moeten zich allereerst realiseren welke risico’s ze lopen”, zegt Hiemstra. “In de afgelopen jaren stonden de deuren wagenwijd open om klantgegevens te verzamelen. Voor eigenbelang. De aandacht voor de privacy van burgers is van veel recentere datum.” Hiemstra ziet dat zeker financials daardoor beschikken over enorme hoeveelheden data, waarvan lang niet altijd duidelijk is onder welke voorwaarden de data is verzameld. Een potentieel risico, weet ze. “Voor een datalek is meestal helemaal geen hack nodig, een slordige flexwerker met een usb-stick is voldoende.”

“Bedrijven moeten zich allereerst realiseren welke risico’s ze lopen”

Niet de IT-afdeling

Alle reden om procedures klaar te hebben voor als het mis gaat. Bijvoorbeeld: wie informeren we in geval van een datalek. “Laat die overwegingen niet over aan de IT-afdeling”, zegt Hiemstra. “Bedrijven zijn geneigd om bij een lek direct de toezichthouder én alle klanten te informeren. Zelfs als er geen privacygevoelige gegevens zijn gestolen.” Niet altijd een verstandige keuze, die vaak volgt uit een gebrek aan kennis. “De wet verplicht het informeren van de klanten alleen onder specifieke omstandigheden”, legt Hiemstra uit. “Bedrijven zijn verplicht datalekken te documenteren voor de toezichthouder, maar klanten hoeven alleen te worden geïnformeerd als het datalek voor hen een hoog privacy-risico inhoudt. In veel andere situaties zorgt een bericht aan klanten vooral voor onrust en imagoschade.”

“Bedrijven zijn geneigd om bij een lek direct de toezichthouder én alle klanten te informeren, niet altijd een verstandige keuze”

Trend naar voorkoming

De privacy-wetgeving is nog in ontwikkeling, maar Hiemstra ziet dat de wetgeving in de afgelopen jaren meer de nadruk is gaan leggen op de maatregelen om datalekken te voorkomen. Ze noemt als voorbeeld de uitspraak in een eerdere zaak tegen KPN, waarbij een 17-jarige hacker succesvol inbrak op de systemen van het telecombedrijf. Hiemstra: “De onderneming is in hoger beroep alsnog veroordeeld voor het betalen van een forse boete. Die richtte zich niet op het feit dat de klantgegevens op straat lagen, maar op de slechte beveiliging van de gegevens door de telecomonderneming.”

Anonimiseren

Voor Hiemstra is het cruciaal dat financials grip hebben op de data. “Goede beveiliging is belangrijk, maar breng ook in kaart over welke data de onderneming beschikt en welk doel de data dient. Vergeet ook de data bij derde partijen niet.’ Bedrijven moeten zich afvragen waarom ze überhaupt bepaalde gegevens hebben vastgelegd. “Het vernietigen van niet-gebruikte data kan het risico beperken, maar is lang niet altijd nodig. Je kunt gegevens anonimiseren. Zo kun je de data bijvoorbeeld gebruiken voor bijvoorbeeld marktonderzoek, maar voorkom je dat deze in verkeerde handen komt.”

Inventors.finance maakt gebruik van cookies en vergelijkbare technieken van haar en/of derden om I) het gedrag van bezoekers vast te leggen en te analyseren om de websites en apps te verbeteren, II) om het mogelijk te maken content via social media te delen, III) om de inhoud van haar websites en advertenties beter af te stemmen op uw interesses en IV) om informatie te verzamelen over uw voorkeuren en de informatie toe te voegen aan uw klantprofiel. Zo kunnen u ook buiten Inventors.finance relevante aanbiedingen worden gedaan. Als u verder surft, accepteert u deze cookies en gaat u akkoord met de verwerking van de (persoons)gegevens die met behulp van cookies kunnen worden verzameld en verwerkt voor de onder I) tot en met IV) genoemde doeleinden. meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten