Dit zijn de Top 3 Privacy-trends die ik voorzie voor 2019:
- Trend #1: Privacy-training voor werknemers is essentieel
- Trend #2: Aandacht voor privacy op belangrijke momenten in je business
- Trend #3: Meer overtredingen, datalekken en cybercrime
Trend #1 Privacy-training voor werknemers is essentieel
De inwerkingtreding van de AVG (in het Engels: GDPR) heeft in de aanloop tot 25 mei 2018 tot een ware ‘hype’ geleid: zo hebben veel bedrijven klakkeloos e-mails gestuurd naar al hun relaties, waarin ze nogmaals om toestemming vroegen voor het gebruik van hun persoonsgegevens, terwijl dat voor het overgrote deel onnodig was. Er is veel verkeerde informatie over de AVG verspreid en veel bedrijven deden de anderen maar gewoon na. Het is belangrijk dat bedrijven zich goed laten informeren en hun werknemers goed trainen over hoe ze de AVG wel (en vooral niet) moeten interpreteren en toepassen in de praktijk. Dat scheelt jou en je klanten veel ergernis.
Het gaat om vertrouwen
Nu de AVG-hype voorbij is, kunnen we het hebben over waar het echt om draait: hoe transparant en integer jouw bedrijf omgaat met de persoonsgegevens van jouw klanten, prospects, leveranciers en werknemers. De AVG bevat veel algemene principes, dus je moet veel zelf invullen, als je maar goed kan uitleggen en verantwoorden hoe en waarom je zo omgaat met de persoonsgegevens die aan jou zijn toevertrouwd. Het gaat dus vooral om vertrouwen.
Trend #2 Aandacht voor privacy op belangrijke momenten in je business
Investeerders en kopers kijken tegenwoordig ook of je je privacy-huishouding op orde hebt. Zij willen namelijk alleen investeren als dit niet te grote risico’s voor hen oplevert. Grote risico’s leiden tot een verlaging van het investeringsbedrag of de koopprijs. Als uit het boekenonderzoek (due diligence) blijkt dat de privacy niet (controleerbaar) op orde is, dan is dit een ‘rode vlag’. Dit heeft direct impact op de waarde van je bedrijf. Dit kun je voorkomen door je privacy-huishouding op orde te brengen voordat je een investeerder of koper aantrekt.
Privacy staat op de agenda
Grote bedrijven moeten ermee rekening houden dat met een raad van commissarissen (RvC), een ondernemingsraad en (interne en externe) auditors die het onderwerp ‘privacy’ ook op de agenda hebben staan voor dit jaar. Je kunt dus verwachten dat zij hierover vragen zullen stellen en eventueel audits zullen uitvoeren. Ben je daarop voorbereid?
Trend #3: Meer overtredingen, datalekken en cybercrime
Dit jaar komen er meer spraakmakende privacy-overtredingen, datalekken en cybercrime in het nieuws. Dit zijn enkele recente voorbeelden:
- Google kreeg een megaboete van 50 miljoen Euro, vanwege een gebrek aan transparantie, onvoldoende informatie en een gebrek aan toestemming voor persoonlijke advertenties.
- Recent werd bekend gemaakt dat er ruim 770 miljoen e-mailadressen en wachtwoorden zijn buitgemaakt door hackers in de zogeheten data-collectie genaamd ‘Collection #1’.
- Bij cybercrime moet niet alleen worden gedacht aan hacking en malware, maar ook aan ‘social engineering’ en menselijke fouten. Pathe bioscopen was het slachtoffer van CEO-fraude (waarbij iemand zich voordoet als CEO), wat leidde 19 miljoen Euro schade.
Wees voorbereid op datalekken
Bedrijven moeten erop bedacht zijn dat niet alle e-mails waarin wordt gewaarschuwd over een datalek, echt zijn. Zo werden onlangs e-mails verspreid waarin stond dat er een datalek bij Booking.com was, met een link om het wachtwoord te kunnen aanpassen (het bleek ‘phishing mail’ te zijn). Volgens een verklaring van Booking.com was er helemaal geen sprake van van een datalek. Bedrijven moeten weten dat ‘phishing mails’ steeds ‘beter’ worden en haast niet van ‘echt’ zijn te onderscheiden. Een goede ‘awareness training’ en een controleproces voor dit soort situaties, moeten (hopelijk) voorkomen dat er niet op verdachte links wordt geklikt.
Ten slotte, als er echt een datalek is, moet er snel worden gehandeld. Dit moet namelijk binnen 72 uur na de ontdekking worden gemeld Autoriteit Persoonsgegevens via een online meldformulier. Wees ervan bewust dat niet elk beveiligingsincident een datalek is. Als je meer tijd nodig hebt om onderzoek te doen, dan kun je een voorlopige melding doen, wat eventueel later kan worden ingetrokken. Juist het niet (op tijd) melden van een datalek is riskant. Uber kreeg een boete van 600.000 Euro vanwege het te laat melden van een groot datalek. Het is van belang om een goed werkende datalek-procedure te hebben en dat iedereen weet wat hij moet doen zodra er echt iets gebeurt. Testen en trainen zijn hierin de sleutelwoorden.
Wil je meer weten over hoe jouw bedrijf op een praktische manier kan voldoen aan de privacywet?
Ga dan naar de Privacy-pagina of neem direct contact op.
