Ik wil als ondernemer graag even een datalek melden!

Nováccent

Vorige week is in het programma Kassa van de VARA uitgebreid gesproken over de risico’s die Zelfstandige Ondernemers lopen, waaronder identiteitsdiefstal. Ik heb daar zelf eigenlijk helemaal niet eens zo bij stil gestaan, terwijl dit eigenlijk wel zou moeten aangezien ik een security professional ben.

Wanneer ik namelijk bij de belastingdienst aangeef dat ik zelfstandig ondernemer ben, wordt er een BTW nummer aangemaakt dat gebaseerd is op mijn BSN-nummer. Ik ben bij Wet verplicht om dat BTW nummer her en der te publiceren samen met mijn NAW-gegevens, veelal in combinatie met mijn IBAN-gegevens. Dit gebeurt op mijn zakelijke briefpapier, maar ook op mijn website. Op mijn website staan dus alle gegevens waarmee een willekeurig ander persoon zichzelf kan uitgeven voor mijn persoon. Dit is eigenlijk zo krom als het maar zijn kan. Het is wettelijk verplicht om niet te voldoen aan de privacy wetgeving.

Met dank aan de VARA voor het onder de aandacht brengen van dit probleem en ook aan degene die in de betreffende uitzending aangaf dit bij de Autoriteit Persoonsgegevens onder de aandacht te hebben gebracht. Hopelijk krijgt zij gelijk en wordt de belastingdienst verplicht om een ander BTW nummer, niet lijkend op het BSN nummer, aan te maken.

Dan kom ik tot het volgende punt. Hoe zit het eigenlijk met de wettelijke verplichtingen voor de Overheid? Ja, die hebben dezelfde verplichtingen en moeten ook voldoen aan de nieuwe AVG. Nu is dat voor massaal gegevens-slurpende organisaties als de overheden natuurlijk een behoorlijke uitdaging. De AVG kent in tegenstelling tot de vorige regelgeving een documentatieplicht. Organisaties moeten documenteren welke gegevens de organisaties verwerken, met welk doel deze gegevens worden verzameld, waar de gegevens vandaan komen en met wie de organisatie de gegevens deelt. De wettelijke grondslag voor de verwerking moet zijn vastgelegd. Kunnen overheden dit overleggen voor 25 mei 2018? Vaak zwerven er eindeloos kopieën rond van gegevensbestanden, gedeeld met allerlei afdelingen en externe organisaties. Is overal het principe "Privacy by Design" gehanteerd? Kan men aantonen dat persoonsgegeven te allen tijde beschermd zijn?

Natuurlijk zal dit in het bedrijfsleven niet anders zijn. Echter er is één belangrijk verschil! Vanaf 25 mei volgend jaar kan de AP het bedrijfsleven zonder pardon een flinke boete opleggen die zodanig substantieel is dat men nu wel de druk voelt om te gaan voldoen aan de AVG.

Geldt dit ook voor de overheid?

Artikel 83, lid 7 uit de AVG zegt letterlijk: Onverminderd de bevoegdheden tot het nemen van corrigerende maatregelen van de toezichthoudende autoriteiten overeenkomstig artikel 58, lid 2, kan elke lidstaat regels vaststellen betreffende de vraag of en in hoeverre administratieve geldboeten kunnen worden opgelegd aan in die lidstaat gevestigde overheidsinstanties en overheidsorganen.

Wat betekent dit nu eigenlijk? Overheidsinstanties verzamelen heel veel privacygevoelige gegevens waarbij het doel niet altijd even duidelijk is. Natuurlijk zullen zij hun best doen om de veiligheid van de gegevens zoveel mogelijk te garanderen. Echter, ervaring leert, als er geen sancties opgelegd worden, dan is de motivatie om er echt fundamenteel iets aan te doen ver te zoeken! Wilt u meer praktische handvaten omtrent GDPR/ AVG? Kom dan naar de middag met workshops en sessies op 1 juni vanaf 12.00 uur georganiseerd door Nováccent, BeOne en Auditrail.

Stef Liethoff, Managing Partner Nováccent

security-services