Privacyrecht is code (R&P nr. ICT1) 2010/7.10.1:7.10.1. Bedrijfsstrategie en privacybescherming

Privacyrecht is code (R&P nr. ICT1) 2010/7.10.1

7.10.1. Bedrijfsstrategie en privacybescherming

Documentgegevens:

drs. J.J.F.M. Borking, datum 26-05-2010

Datum: 26-05-2010
Auteur: drs. J.J.F.M. Borking
JCDI: JCDI:ADS577617:1
Vakgebied(en): Civiel recht algemeen (V)

Bij de meeste ondervraagde bedrijven blijkt privacybescherming geen bewust onderdeel te zijn van de bedrijfsstrategie. De bewustwording op dit gebied lijkt echter wel toe te nemen, in ieder geval als het om de persoonlijke informatie van klanten gaat. Deelnemers aan de workshop in Bristol deelden onder meer mee:

"I think there can be a big mismatch between employer perception and the perception of the general public. There have been some surveys over the past year that show that certainly in the UK the public regard privacy as a very important issue, one of the most important issues, but employers don't seem to have taken that on board." "I think it's almost binken down into two parts.1 think the companies recognize privacy for extemal facing people, but internally it's very poorly recognized. So are their own employees."1

Natuurlijk kunnen deze opvattingen niet gegeneraliseerd worden omdat in elke organisatie weer specifieke omstandigheden gelden en de privacycultuur van land tot land kan verschillen. Onderzoekers stelden vast dat bij de elf participerende bedrijven in de workshop in Bristol het niveau van de IAM-processen varieerde van 'starting-up' tot 'top class'. In Stockholm stelden de representanten van de telecommunicatie-industrie (top class maturiteit) dat:

"Sweden is probably the most high-trust society in the world; this imposes a responsibility for XYZ to respect that trust and with that the privacy of the customers....(..) The relationship in Finland is mainly based on trust, the damage in a privacyincident is much higher....because it effects the core of trust."2

Klanten van deze industrie verwachten dat hun persoonsgegevens goed beschermd zijn. Slechts een klein privacyincident haalt met gemak de voorpagina van de kranten. Dat neemt echter niet weg dat privacy niet erg hoog op de managementagenda van Zweedse bedrijven staat: "Unless privacy becomes an (business) opportunity, it will not be high on the management agenda. (...) [The] Main vision is to offer so much privacy to meet customer demand (...) that is different in Kazachstan3 than in Sweden."4

Met andere woorden de geboden privacybescherming in Kazachstan lag vele niveaus lager dan in Zweden. De deelnemers aan de workshop in Zurich zagen privacy als een synoniem voor confidentialiteit5 voor alle zaken waarbij cliënten betrokken waren:

"Client confidentiality is very important for us and our customers (...) it is vital for ABC to prevent its products and services from being abused, while still respecting the privacy of its clients. In addition to adhering to local legislation, the bank applies strict Swiss regulations for the prevention of money laundering and terrorist financing in its international locations."6

Voor de meeste bedrijven blijkt privacy een synoniem voor informatiebeveiliging te zijn. In de workshop in Nederland bleek echter dat bedrijf PQR (top class maturity) in zijn benadering van privacy zich totaal anders opstelde dan organisaties in de andere workshops. Binnen PQR is privacybescherming onderdeel van de bedrijfscultuur. PQR beschouwt privacy als een fundamenteel middel om het vertrouwen dat cliënten hebben in het bedrijf en de goede reputatie van het merk te bevorderen. Als enige organisatie die participeerde in de workshops heeft PQR een:

"corporate privacy infrastructure in place: a chief privacy officer plus network of privacy officers throughout the worldwide company (...) We have also a privacy group in division XYZ and privacy security research group."7

Binnen PQR gelden verschillende privacyprocedures voor de gegevens van cliënten en werknemers:

"We have a strategy on privacy for employee data; we have implemented binding corporate rules for employee data, it is part of our ethics code (...) For the consumer data there is a global privacy policy for these data (...) we have an extremely global centralized database on consumer data. Security is very strict and as well the access policy. (...) There are very strict procedures and data are only available on a very limited basis. For outsiders if they want to use data, there are many elaborate privacy clauses in the contracts. (...) if the database would have a problem, the problem would be very big. Employees have to load consumer data in this database and aren't allowed to keep it."8

Tijdens de discussie over het IAM-maturiteitmodel en het moment waarop een bedrijf PET-applicaties overweegt deelde de `chief privacy officer'(CPO) van een bedrijf in Nederland mee dat:

"To align the different interests within our organization (several divisions) you look at the privacy maturity levels. For comparison we use the standard of the GAP Institute of Intemal Auditors (GAP schema GTAG 5.)9 We are for the whole of our organization at level X (confidential). (...) There seems to be in the GAP privacy level scheme a S-curve as well."10

Het schema (figuur 7.8) waar de CPO aan refereert, ziet er als volgt uit:

Figuur 7.8: Privacymaturiteitmodel volgens GAP.

id-58c23efe-95a5-43ef-a305-166222c5c2d1

De resultaten van de workshops en interviews geven aan dat de participerende organisaties uiteenlopende ideeën hebben over de strategische relevantie van privacy. Het is daarom te verwachten dat daardoor de toegepaste bedrijfsprocessen en structuren om privacy te beschermen per bedrijf net zoveel van elkaar verschillen.

Toon alle voetnoten

Voetnoten

Voetnoten

Ribbers, Fairchild & Tseng, 2008, p. 11.

Ribbers, Fairchild & Tseng, 2008, p. 15.

Een van de gebieden waar XYZ een dochteronderneming heeft.

Ribbers, Fairchild, & Tseng, 2008, p. 16.

In figuur 2.2 zijn de verschillen tussen privacy, confidentialiteit en informatiebeveiliging gevisualiseerd.

Ribbers, Fairchild, & Tseng, 2008, p. 24.

Borking, 2008, p.7.

Borking, 2008, p.8.

Hahn, Askelson & Stiles, 2008.

10.

Borking, 2008, p. 8.