Risico’s, rechten en vanzelfsprekendheid

Regelmatig – feitelijk steeds vaker – worden we geconfronteerd met incidenten waarbij sprake is van schending van de privacy. Meer dan eens blijkt dan, dat onvoldoende (technische en/of organisatorische) maatregelen zijn genomen om persoonsgegevens te beschermen. Aan het nemen van maatregelen gaat een risicobeoordeling vooraf. Die beoordeling moet uitwijzen of, en zo ja welke maatregelen genomen moeten worden om de privacy van betrokkenen te beschermen. De ervaring leert, dat organisaties vaak een aantal drempels moeten nemen om tot een adequate risicobeoordeling over te gaan. De eerste en misschien wel meest cruciale drempel is het onderkennen dat risico’s bestaan. Vaak wordt gesteld dat dat wel niet zo’n vaart zal lopen.  Ook worden de gevolgen van een incident voor zowel organisatie als betrokkenen onderschat. 

De ervaring leert ook dat datzelfde geldt voor de betrokkenen zelf. Ook betrokkenen doen er verstandig aan om zelf een risicobeoordeling te doen en meer zicht en grip te krijgen op hun eigen gegevens. Maar hoe?

De Europese privacyverordening die op 25 mei 2018 van kracht is geworden (de AVG), is bedoeld om ons te helpen met het vinden van een antwoord op die vragen. De AVG maakt duidelijk welke rechten betrokkenen hebben. Wat we mogen – nee moeten – verwachten van organisaties aan wie we onze persoonsgegevens (bewust dan wel onbewust) verstrekken. Dat begint met bewustzijn. 

Jouw gegevens bepalen wat je aan informatie, advertenties of nieuws krijgt voorgeschoteld. Vast staat dat de uitslag van verkiezingen op die manier kan (en is) beïnvloed. Maar privacy krijgt pas echt betekenis als we worden geconfronteerd met de gevolgen van een privacyincident. Voor een organisatie kan dat leiden tot een boete van de toezichthouder en imagoschade. Maar als je als betrokkene slachtoffer wordt van identiteitsfraude en je bijvoorbeeld wordt geconfronteerd met de aanschaf van dure spullen, huur van een auto, boetes op jouw naam en dan niet kunt aantonen dat jij daar niets mee te maken hebt, is dat dramatisch.

Net als iedere vorm van preventie wordt ook de beschermen van privacy nog te vaak als een last ervaren. Het kost geld en tijd zonder dat duidelijk is wat er tegenover staat. De relatie met het borgen van vertrouwen wordt dan niet gelegd. Er is nog veel werk te verzetten voordat het beschermen van de privacy wordt beschouwd als een vanzelfsprekendheid. Het is mijn ambitie om daaraan bij te dragen.