Dit is de zevende blog in de blogreeks: Ontdekkingen van een junior compliance officer. In deze reeks vertel ik over wat mij is opgevallen in het compliance landschap.
Ik denk dat de meesten in de krant wel hebben gelezen over de cyberaanval op laboratorium Clinical Diagnostics. Dit is een laboratorium wat onderzoek doet voor het bevolkingsonderzoek naar baarmoederhalskanker. Op de website van Avrotros staat dat de hackers toegang gekregen hebben tot de volgende gegevens:
Dit zijn veel en gevoelige persoonsgegevens waarvan het, zacht uitgedrukt, heel vervelend is dat ze gelekt zijn. Niet alleen voor de personen op wie deze gegevens betrekking hebben, maar ook voor de reputatie van Bevolkingsonderzoek Nederland en die van Clinical Diagnostics. Naar Clinical Diagnostics wordt door het Openbaar Ministerie een strafrechtelijk onderzoek gedaan.
Bij een datalek gaat het om toegang tot persoonsgegevens zonder dat dit mag of zonder dat dit de bedoeling is. Met deze gegevens kan op allerlei manieren gefraudeerd worden zoals via de telefoon of de mail. Met persoonsgegevens wordt alle informatie bedoeld over een geïdentificeerde of identificeerbare natuurlijke persoon.
Een vraag die naar bovenkomt is, waarom heeft het laboratorium al deze gegevens nodig? Gaat alle communicatie omtrent dit onderzoek niet via Bevolkingsonderzoek Nederland? Het laboratorium had deze gegevens niet nodig en had met anonimiseren of met pseudoniemen kunnen werken. Op een testbuisje had bijvoorbeeld alleen een code kunnen staan, en bij Bevolkingsonderzoek Nederland is deze code dan gekoppeld aan de desbetreffende persoon. Zo had het laboratorium niet eens persoonsgegevens verwerkt, omdat de ‘code’ en de uitslagen niet herleidbaar zijn naar een natuurlijk persoon en dus geen persoonsgegevens zijn! De hack had dan niets opgeleverd.
Data minimalisatie
Dit brengt ons op het onderwerp data minimalisatie. Dit is een van de belangrijkere beginselen van de Algemene Verordening Gegevensbescherming (AVG). Dit houdt in dat als een organisatie persoonsgegevens verwerkt, ze daarbij moeten uitgaan van het principe ‘zo min mogelijk’. De verwerking van de gegevens moet passen bij het doel en als organisatie moet je niet meer gegevens verwerken dan noodzakelijk is om dat doel te bereiken. En ze ook niet langer bewaren dan nodig.
Dataminimalisatie – niet te veel
Veel bedrijven verwerken meer persoonsgegevens dan nodig is. Is het bijvoorbeeld altijd nodig om het geslacht van een abonnee te weten als je een brief stuurt over diens abonnement op een tijdschrift? Dit is maar een klein voorbeeld, maar wel iets om over na te denken als organisatie. Een mooi voorbeeld hiervan is de NS. In 2017 veranderen zij hun manier van oproepen van ‘Beste dames en heren’ naar ‘Beste reizigers’. Dit gaat dan niet om het verwerken van persoonsgegevens, maar het laat wel zien dat het benoemen van het geslacht niet altijd nodig is.
Een ander voorbeeld gaat over de noodzaak van genderidentiteit bij het kopen van een vervoersbewijs. Op 9 januari 2025 deed het Europese Hof van Justitie hier een uitspraak over, namelijk dat de genderidentiteit van een klant geen noodzakelijk gegeven is voor de aankoop van een vervoersbewijs.
Dataminimalisatie – niet te lang
Naast dat je niet te veel persoonsgegevens mag verwerken, mag je ze ook niet te lang bewaren. Vaak wordt de zeven jaar fiscale bewaartermijn als wettelijke basis gebruikt. In de AVG staan echter geen concrete bewaartermijn voor persoonsgegevens. Daar staat dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk is. In andere wetten, zoals belastingwetgeving, zijn wel concrete bewaartermijnen waaraan organisaties zich moeten houden. Lees hier meer over het bewaren van persoonsgegevens.
Beschermen van persoonsgegevens
Een andere belangrijke vraag is hoe je het beste kan zorgen voor het beschermen van persoonsgegevens in jouw organisatie. Hiervoor ben ik in gesprek gegaan met de privacy goeroe van NCIP: Peter Westdijk. Volgens Peter begint het bij logisch nadenken: heb ik deze gegevens wel echt nodig om dit doel te bereiken? Het gaat om doelbinding: organisaties mogen persoonsgegevens alleen verzamelen met een gerechtvaardigd doel. Volgens Peter zou het verstandig zijn om eens in de zoveel tijd, bijvoorbeeld één keer per jaar, te controleren of de organisatie niet meer gegevens verwerkt dan nodig is.
Verder heeft hij het over het benoemen van een soort privacy ambassadeurs in de 1e lijn. Dit zouden werknemers zijn die net wat meer van privacy weten dan de gemiddelde collega. Uit zijn ervaring werken de processen rondom privacy zo beter en worden er minder fouten gemaakt. Privacy wordt dan meer eigen dan dat het alleen iets is van bijvoorbeeld een Functionaris Gegevensbescherming (FG). Dit is een gegevensbeschermingsdeskundige die advies geeft over de naleving van gegevensbescherming binnen een organisatie. Ook intern toezicht houden op het naleven van de privacywetgeving is een belangrijke taak van de FG. In enkele gevallen is een FG verplicht, dit staat in artikel 37 van de AVG.
Het is dus van belang om de kennis van de 1e lijn te versterken, zodat persoonsgegevens goed beschermd worden. Je kan deze kennis op meerdere manieren versterken. Zo kan je jaarlijks een awareness sessie houden, e-learnings verplicht stellen of de drempel verlagen door een paar 1e lijn werknemers privacy ambassadeurs te maken. Deze privacy ambassadeurs hebben beter door wat er op een afdeling speelt, dan een FG die zich waarschijnlijk niet vaak op de werkvloer bevindt.
De verantwoordelijkheid voor het naleven van de privacywetgeving ligt nog steeds bij de manager binnen de 1e lijn; hij of zij kan zich niet verschuilen achter de privacy ambassadeur (daar is hij toch voor?) of de FG (het wordt toch nog gecontroleerd). Verschuilen is niet hetzelfde als beschermen!
Met deze informatie weet je hopelijk beter wat je kunt doen omtrent het beschermen van persoonsgegevens en data minimalisatie. Mocht je hier meer over willen weten kan je de training ‘Privacy en de compliance officer’ volgen op 13 november. Lees er hier meer over.
