Einde inhoudsopgave
Privacyrecht is code (R&P nr. ICT1) 2010/8.7
8.7. Positieve businesscase
drs. J.J.F.M. Borking, datum 26-05-2010
- Datum
26-05-2010
- Auteur
drs. J.J.F.M. Borking
- JCDI
JCDI:ADS574101:1
- Vakgebied(en)
Civiel recht algemeen (V)
Voetnoten
Voetnoten
Fairchild & Ribbers, 2008, p. 82-100
Koom, e.a., 2004, p. 47-56
Directive 2002/58/EC concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications
Boer & Grimmius, 2009, p. 10
Détraigne & Escoffier, 2009, p. 102 '11 semble possible d'aller un peu plus loin en créant a minima une obligation de notification des failles de sécurité à la CNIL, des critères et des seuils devant être définis pour ne pas la submerger. Cette obligation pèserait sur tous les responsables de traitement. Bien maltrisée et encadrée, l'obligation de notification des failles desécurité peut être une incitation forte au renforcement de la sécurité des données
Boer & Grimmius, 2009, p. 10.
http://www.ez.nl/dsresource?objectid=163644&type=PDF.
Koorn & Ter Hart, 2004, p. 15-22
De nieuwsrubriek van het World Data Protection Report van maart 2009 (vol. 9. nr. 3, p. 30) vermeldt dat in de Verenigde Staten TRUSTe finds that small businesses don't take online privacy seriously. Meer dan 50% heeft geen privacy policy en 21% is onzeker of er wel beveiligingsmaatregelen (o.a. encryptie van webpages) zijn genomen
Baker, e.a., 2009 p. 47
Financial Times 21 November 2007: 'Massive data loss hits UK', p. 1.
Er wordt door de overheid en het bedrijfsleven nauwelijks geinvesteerd in privacyveilige systemen. Kosten zijn een negatieve adoptie factor voor het gebruiken van PET. Businessmodellen om de investering in privacybescherming te onderbouwen, ontbreken vrijwel geheel. In hoofdstuk 7 heb ik aangetoond dat een organisatie PET-maatregelen niet zal invoeren zonder een positieve business-case. Volgens het PRIME-onderzoek naar het 'Business Model and Economic Drivers for Privacy Enhancement' is de maturiteit van de organisaties op het gebied van JAM en privacybescherming een indicatie wanneer PET binnen een organisatie kan worden toegepast.1 De S-curves die bij JAM, privacybescherming en PET horen maken het mogelijk te voorspellen wanneer organisaties zouden kunnen overstappen op PET-maatregelen. Het management van kleine en middelgrote organisaties zal meestal besluiten in PET te investeren als de businesscase een positief rendement oplevert. Helaas is het zo dat het MKB veelal niet beschikt over de informatie en kennis om een goede businesscase op te stellen. Grote bedrijven hebben vaak zo hun eigen redenen om in PET te investeren. Rendementsberekeningen spelen daarbij niet per se een rol. Wel is het zo dat de voorgenomen PET-investeringen met andere investeringen zullen moeten concurreren. De noodzakelijke andere verplichtingen van de organisatie en de beschikbaarheid van financiële en andere middelen (bijvoorbeeld personeel, managementinzet) zullen beperkingen vormen die de organisatie in acht moet nemen. Of een project een hoge prioriteit heeft, hangt af van het belang dat het management eraan hecht.
Door drie kernvragen te beantwoorden wordt duidelijk of een organisatie PET kan toepassen.
Draagt PET in belangrijke mate bij aan de beleidsdoelstellingen van de organisatie?
Welke kosten brengt PET eenmalig en structureel met zich mee?
Wat is het kwalitatieve (positief imago, verbeterde dienstverlening) en kwantitatieve (aantoonbare kostenreducties) voordeel van PET voor de organisatie?2
Als uit het antwoord op deze vragen blijkt dat de toepassing van PET wenselijk én vanuit een kosten-batenperspectief rationeel is, dan is er sprake van een positieve businesscase voor de toepassing van PET. Daarvoor zal een organisatie ook een kosten-batenanalyse moeten maken. De in hoofdstuk 7 uiteengezette ROIPImethode kan daarbij als een `quick and dirty'analyse een goed hulpmiddel zijn, maar een Net Present Value cash flowberekening is nauwkeuriger. Er zijn echter geen betrouwbare empirische gegevens over privacyincidenten binnen de Europese Unie beschikbaar. Daardoor kunnen de consequenties van dergelijke incidenten niet accuraat worden ingeschat en de rendementsberekeningen onnauwkeurig zijn. Dat hiaat in empirische gegevens zou kunnen worden opgevuld door een Europees instituut op te richten dat de inbreukgegevens binnen de EU verzamelt, analyseert en publiceert, net zoals Ponemon3 dat in de Verenigde Staten doet.
Wanneer organisaties verplicht worden om verlies en diefstal van persoonlijke informatie bekend te maken en te laten registreren (zoals het wijzigingsvoorstel van de e-privacyrichtijn 2002/58/EG4 beoogt), zullen burgers het vertrouwen terugkrijgen in organisaties, mits deze organisaties de burgers op de hoogte te stellen van de maatregelen die de organisatie neemt om schade en toekomstige inbreuken te voorkomen.5 De melding zal ongetwijfeld leiden tot reputatieschade voor de betrokken organisatie. Dat kan voor bona fide organisaties een sterke aansporing zijn om de beveiliging van persoonsgegevens te optimaliseren.6 Organisaties die al onzorgvuldig zijn wat betreft hun informatiebeveiliging, zullen vermoedelijk de beveiligingsbreuk niet rappor-teren.7 De Branchevereniging van IT-, telecom-, internet- en officebedrijven laat in haar nieuwsbrief ICT — Office Online van 25 juni 2009 naar aanleiding van het rapport 'Melding maken?' van het Ministerie van Economische Zaken8 weten dat een meldplicht niet tot betere beveiliging leidt als er geen sanctie staat op het niet-aanmelden van het privacyincident. De bescherming van privacygevoelige gegevens staat niet hoog op de prioriteitenlijst van organisaties. Volgens Koorn en Ter Hart (KPMG)9 beschermt slechts 5% van alle Nederlandse bedrijven zijn privacygevoelige gegevens conform de vereisten van de Wet bescherming persoonsgegevens. 10 Hetzelfde verschijnsel doet zich voor in de Verenigde Staten. Baker concludeert dat: "In 59% of breaches, security policies were established but not enacted through actual process; 83% of attacks were not considered to be highly difficult and 85% were opportunistic; 39% of breaches involved business partners and 66% of breaches involved data not known to be on the system. Efforts to locate, catalogue and track sensitive data and assess risk are highly beneficial."11
De meeste bedrijven denken pas echt na over de bescherming van de aan hun toevertrouwde persoonsgegevens als er weer een privacyinbreuk in het nieuws komt. Een voorbeeld daarvan is het in hoofdstuk 4 vermelde privacyincident waar de British Revenue and Customs Office 25 miljoen gedetailleerde persoonsgegevens van burgers die in aanmerking kwamen voor sociale voorzieningen, kwijtraakte.12
Aanbeveling VI aan de verantwoordelijken en adviserende accountants: Bereken vooraf de Return on Investment van PET-maatregelen, opdat er een gewogen management beslissing genomen wordt over de invoering van privacy-beschermende maatregelen en reputatieschade kan worden voorkomen.