Risico’s, rechten en vanzelfsprekendheid

Regelmatig – feitelijk steeds vaker – worden we geconfronteerd met incidenten waarbij sprake is van schending van de privacy. Meer dan eens blijkt dan, dat onvoldoende (technische en/of organisatorische) maatregelen zijn genomen om persoonsgegevens te beschermen. Aan het nemen van maatregelen gaat een risicobeoordeling vooraf. Die beoordeling moet uitwijzen of, en zo ja welke maatregelen genomen moeten worden om de privacy van betrokkenen te beschermen. De ervaring leert, dat organisaties vaak een aantal drempels moeten nemen om tot een adequate risicobeoordeling over te gaan. De eerste en misschien wel meest cruciale drempel is het onderkennen dat risico’s bestaan. Regelmatig wordt het bestaan van substantiële risico’s betwijfeld. Ook worden de gevolgen van een incident voor zowel organisatie als betrokkenen ernstig onderschat. 

De ervaring leert ook dat datzelfde geldt voor de betrokkenen zelf. Ook betrokkenen doen er verstandig aan om zelf een risicobeoordeling te doen en meer zicht (en ook grip) te krijgen op hun gegevens. Maar hoe krijg je meer zicht en grip?

De Europese privacyverordening die op 25 mei 2018 van kracht is geworden (de AVG), is bedoeld om ons te helpen met het vinden van een antwoord op die vragen. De AVG maakt duidelijk welke rechten betrokkenen hebben. Wat we mogen verwachten van organisaties aan wie we onze persoonsgegevens verstrekken. Of sterker – de AVG biedt ons instrumenten om eisen te kunnen stellen, wellicht ook moeten stellen. Of die verwachtingen worden uitgesproken of van die rechten gebruik maken hangt vooral af van de waarde die we hechten aan onze privacy. Dat begint met bewustzijn. 

Er ontstaat enige maatschappelijke verontwaardiging als men kennis neemt van vermeende manipulatie bij verkiezingen. Maar privacy krijgt pas echt betekenis als we worden geconfronteerd met de gevolgen van een privacyincident. Als je als betrokkene slachtoffer wordt van identiteitsfraude of als je als organisatie verantwoordelijke wordt geconfronteerd met reputatie/imagoschade en wellicht boete van de toezichthouder.

Net als iedere vorm van preventie wordt ook de beschermen van privacy nog te vaak als een last ervaren. Het kost geld en tijd zonder dat duidelijk is wat er tegenover staat. De relatie met het borgen van vertrouwen wordt dan niet gelegd. Er is nog veel werk te verzetten voordat het beschermen van de privacy wordt beschouwd als een vanzelfsprekendheid. Het is mijn ambitie om daaraan bij te dragen.