AVG en de cloud: Waarom de focus op boetes niet deugt

Discussies over de Algemene Verordening Gegevensbescherming (AVG) gaan meestal over de boetes die organisaties kunnen krijgen als ze onzorgvuldig omgaan met persoonsgegevens. Volgens Bas Loovens van DearBytes zijn er echter veel belangrijkere redenen om de bescherming van persoonsgegevens serieus te nemen. Zeker nu steeds meer organisaties gebruik maken van cloud-oplossingen.

De AVG is voor veel organisaties een belangrijke drijfveer om ICT-beveiliging hoger op de agenda te zetten. En dan in het bijzonder de boetes die op overtredingen staan. Die zijn namelijk hoog. Organisaties die slordig omspringen met persoonsgegevens riskeren na 25 mei boetes oplopend tot 20 miljoen euro of 4 procent van de wereldwijde omzet.

Wetgeving en sancties zijn kennelijk de meest effectieve manier om de bescherming van persoonsgegevens bij organisaties op de agenda te krijgen. “Tegelijkertijd is het bedenkelijk dat bedrijven die stok achter de deur nodig hebben”, zegt Bas Loovens, senior productmanager Cloud Security bij beveiligingsbedrijf DearBytes. “Om meerdere redenen zou wetgeving eigenlijk overbodig moeten zijn.” Loovens zet er 3 op een rij.

1. Bescherming persoonsgegevens is een ‘business enabler’

Bedrijven kunnen een goede bescherming van persoonsgegevens als verkoopargument gebruiken. Als je laat zien dat je privacy serieus neemt, heb je een streepje voor bij klanten. Toon aan dat je exact weet welke persoonsgegevens je verzamelt, waar die data zich bevinden en wie er toegang toe hebben. En laat zien dat je er alles aan doet om diefstal en manipulatie van gegevens te voorkomen.

Bijvoorbeeld de ANWB heeft goed begrepen dat een goede security een ‘unique selling point’ is. In oktober 2017 werd bekend dat de gegevens van 95.000 klanten van de ANWB-webshop door een lek openbaar zijn geweest. Een vervelend incident als gevolg van een menselijke fout.

De reactie was echter zoals die hoort te zijn. De organisatie kon tot in detail aangegeven welke gegevens mogelijk inzichtelijk zijn geweest, corrigeerde de fout waardoor de data lekten en informeerde zowel de Autoriteit Persoonsgegevens als de betrokkenen. Een dergelijk optreden schept vertrouwen bij klanten.

2. Bescherming persoonsgegevens bevordert de continuïteit

Maatregelen die je treft om persoonsgegevens te beschermen, zorgen er ook voor dat je na een incident weer snel ‘back in business’ bent. Bijvoorbeeld door snel weer te beschikken over belangrijke data.

Zo is een gijzeling van gegevens door ransomware een voorbeeld van een datalek dat je in veel gevallen moet melden bij de privacywaakhond. Om een sterk verhaal te hebben richting de AP helpt het als je ransomwareaanvallen snel detecteert en de impact weet te minimaliseren, bijvoorbeeld door direct een actuele back-up terug te zetten.

Diezelfde maatregelen zorgen er echter ook voor dat je na een aanval weer snel zaken kunt doen. Daardoor blijven de financiële gevolgen beperkt. Een langdurige downtime heeft namelijk onder andere omzetderving, hogere kosten voor pr, een beschadigde reputatie en mogelijk zelfs juridische kosten tot gevolg.

3. Beschermen persoonsgegevens is een morele verplichting

Hackers die de hand weten te leggen op gevoelige persoonsgegevens zoals burgerservicenummers en NAW-gegevens, kunnen letterlijk levens ruïneren. Door een identiteit te stelen, kunnen ze iemand te gronde richten en bijvoorbeeld laten opdraaien voor een delict. Of woningen huren op naam van het slachtoffer, dat vervolgens een incassobureau achter zich aan krijgt.

Bedrijven moeten het volgens Loovens als een morele verplichting voelen om klanten tegen dergelijke praktijken te beschermen. “Als je privacygevoelige gegevens verzamelt, dan spreekt het voor zich dat je er ook alles aan doet om die data te beschermen. Als dat besef is geland, krijgt de bescherming van persoonsgegevens meer aandacht en ‘gewicht’ binnen de organisatie.”

“Wie vanuit een moreel besef handelt, zorgt er bijna automatisch voor dat de ICT-security op orde is en de bescherming van persoonsgegevens hoog op de agenda staat. Angst voor boetes is dan niet nodig”, aldus Loovens.

Bas Loovens is senior productmanager Cloud Security bij DearBytes