Bedrijven: neem verantwoordelijkheid voor de persoonsgegevens in jullie beheer

07 mei 2018

Op 30 april schreef Berry Zwets een artikel voor Techzine. Daarin stond dat een meerderheid van de consumenten vindt dat de boete die een bedrijf betaalt wanneer persoonsgegevens worden gestolen, terecht moet komen bij de slachtoffers en niet bij de overheid.

Het gevoel van de consument dat zij recht hebben op dit geld, is naar mijn mening, volkomen terecht. Waarom? Dat leg ik graag uit.

Wie betaalt de rekening?

Worden jouw gegevens gestolen? Dan heb je nu als consument het nakijken bij een datalek en mag je hopen dat er geen ernstig misbruik van je persoonlijke data wordt gemaakt. De nieuwe Algemene Verordening Persoonsgegevens (AVG) verbetert de positie van jou als consument gelukkig. Deze wet streeft een betere bescherming van persoonsgegevens na. Over het algemeen ben jij als consument nu machteloos als je gegevens worden gehackt in de database van een bedrijf. Het aanpassen van je wachtwoord is je enige optie, maar komt vaak te laat.


Om datalekken te voorkomen, bepaalt de wet dat het bedrijf alles moet doen om jouw persoonlijke gegevens optimaal te beveiligen. Dat is wel het minste wat je mag verwachten. Het bedrijf verdient immers geld aan jouw persoonlijke gegevens! Als je gegevens dan tóch zouden lekken, dan is een financiële vergoeding wel zo rechtvaardig.


Zoals Berry Zwets ook al in zijn artikel zei, is het beboeten van de hacker een vrij kansloze zaak. Dit zou wel zo eerlijk zijn, maar vaak is de hacker niet te achterhalen. En als hij al wordt opgepakt, dan is het maar de vraag of hij de boete kan betalen. Voor de consument is dit dus geen goede oplossing.

 

Besef van verantwoordelijkheid

De verantwoordelijkheid kan daarom naar mijn mening het beste bij het (gehackte) bedrijf worden gelegd. Want zij moeten ervoor zorgen dat hun beveiliging op orde is en dat ze voldoen aan de AVG. Het is tijd dat bedrijven inzien dat deze verantwoordelijkheid 100% bij henzelf ligt.

Dat zal ook wel moeten, want de boetes van de AVG zijn niet mis: 4% van de jaaromzet wereldwijd of lokaal een boete oplopend tot 1 miljoen euro. Dat zijn flinke bedragen. Het voordeel? Ook de directie van bedrijven realiseren zich nu dat datalekken een serieus risico zijn. Grote kans dat ze een stuk voorzichtiger omgaan met jouw data.

 
De gevolgen van datalekken

Maar waarom zijn datalekken dan zo gevaarlijk? Het is makkelijk om te frauderen met gelekte data. Met hele vervelende gevolgen voor de personen in kwestie… Denk aan boetes, telefoonabonnementen op naam, oplichterspraktijken en nog veel meer. Je moet er niet aan denken. En reken maar dat dit invloed heeft op het imago van het bedrijf.

Een datalek wordt vaak pas later gemeld. Denk aan Facebook, LinkedIn en Dropbox. Voordat het nieuws bekend is en de gebruiker kans heeft gehad om zijn wachtwoord aan te passen, hebben de hackers alle kans gehad om in te loggen op andere websites met deze gegevens. Te laat, dus.

 

Schade niet alleen voor direct betrokkenen

Gebruik jij je zakelijke e-mailadres wel eens om om persoonlijke zaken te regelen, zoals het doen van online boodschappen? Je bent niet de enige. Als je daarvoor ook je zakelijke wachtwoord gebruikt, is het voor de hacker niet moeilijk om in te breken in de systemen van jouw bedrijf. Het bedrijf is zich van geen kwaad bewust omdat een bekend e-mailadres is gebruikt. Er wordt dus geen melding gedaan van een datalek. Gevaarlijk!

Uit de lijst op gotcha.pw blijkt dat dit zelfs kan gebeuren bij bedrijven die voor de staatsveiligheid zorgen: het Openbaar Ministerie, Rijksrecherche en ga maar zo door. Op deze lijst staan allerlei overheidsinstanties waar de laatste jaren een datalek is ontdekt en waar e-mailadressen van interne medewerkers zijn misbruikt.

 

Niet alleen voor de AVG

De nieuwe AVG-wet wil met de hoge boetes afdwingen dat bedrijven verantwoord omgaan met persoonlijke data. Vooral omdat het nare gevolgen kan hebben voor de eigenaren van deze data, zoals ik al eerder noemde. Wat mij betreft is dit terecht. Bedrijven moeten zich realiseren dat die vervelende gevolgen ook afstralen op bedrijven die worden gehackt. Behalve de hoge boetes, staat er dus meer op het spel: het vertrouwen van de consument.

Door in lijn met de AVG-regels te werken kunnen bedrijven hun verantwoordelijkheid nemen. Ze kunnen klanten zo laten zien dat ze zich realiseren dat persoonlijke gegevens waardevol zijn en goed moeten worden beschermd.

Wat vind jij? Moet de opbrengst van de boete terechtkomen bij de overheid of bij de getroffen personen?

 

Martijn de Boer, CEO Consumenten Data Diensten Nederland (CDDN)

 

PS Vond je dit een interessant artikel? Download onderstaande whitepaper waarin je 5 concrete tips krijgt om jouw bedrijf AVG-proof te maken.

Whitepaper Downloaden