Redactioneel. Compliance & Privacy
Wendy Belt-Berenbak Redactie Tijdschrift voor Compliance Het artikel is in de opmaak van het tijdschrift rechts als pdf beschikbaar.Privacy is hot! Dat kunnen we niet ontkennen. Wekelijks worden er privacy-‘schandalen’ breed uitgemeten in de diverse media. Dit komt mede omdat er steeds meer en meer (persoonlijke) gegevens worden achtergelaten op internet of bij organisaties. Ook nemen Big Data-toepassingen in toenemende mate toe. Denk aan sociale media als Facebook en Twitter waar mensen, vaak zonder enig idee van wat hiermee wordt gedaan, zelf de vakantiekiekjes en berichten op plaatsen en aangeven wat hun voorkeuren zijn door weer posts van andere gebruikers te liken. Anderzijds wordt veel data verkregen doordat tegenwoordig bijna alles is verbonden met het Internet (the internet of everything). Hierdoor wordt veel informatie verzameld, vaak zonder dat men zich hiervan bewust is. En dan spreken we nog niet eens over de vraag of diegene om wiens gegevens het gaat hier al dan niet toestemming voor heeft gegeven of dat er sprake is van een andere wettelijke grondslag. Veel zaken die op de één of andere manier verbonden zijn met of aangesloten zijn op het internet geven aan ‘gratis’ te zijn of hebben een kortingscomponent in zich. Hoeveel mensen weten dat dit weliswaar geen of minder geld kost, maar dat zij dit betalen met hun privacy? Denk hierbij aan de ‘gratis’ (inmiddels één euro per jaar) Amerikaanse berichtendienst WhatsApp. Inderdaad een stuk goedkoper dan het ‘ouderwetse’ SMS’en, maar wat doet WhatsApp met de berichten en de foto’s die je via deze app verstuurt? De kritische gebruiker heeft dit gelezen in de voorwaarden die je moet accepteren bij het installeren van deze app. De meeste gebruikers zullen deze toch al niet makkelijk te lezen voorwaarden op een klein smartphone scherm, ongetwijfeld direct voor akkoord hebben aangevinkt. Maar laten we het eens dichter bij huis zoeken. Nadat Albert Heijn bij de introductie van de bonuskaart in 1998 al heel wat negatieve publiciteit over zich heen kreeg naar aanleiding van privacy issues omtrent deze dienst, kwam de bekende bonuskaart in oktober 2013 weer in het nieuws, ook in het kader van privacy. De Consumentenbond concludeerde dat de Bonuskaart lek was; bij het intypen van het bonuskaartnummer op internet kon men, zonder verder in te hoeven loggen, zien wat er was aangekocht: van zwangerschapstest tot zuivel. Het bonuskaartnummer stond namelijk op de kassabon en ook op sommige displays bij de kassa.1 Albert Heijn heeft dat toen snel aangepast en lijkt te hebben geleerd van de privacy issues uit het verleden. Albert Heijn kwam kort daarna met een vernieuwd bonusprogramma waarbij op een zeer transparante wijze klanten werden voorgelicht over de verschillen tussen de persoonlijke en anonieme bonuskaart. Alle klanten kregen een nieuwe bonuskaart die in beginsel anoniem is. Klanten kunnen zelf kiezen om de kaart te registreren waardoor het een persoonlijke kaart wordt waarmee klanten, naar aanleiding van analyse van hun koopgedrag, tevens persoonlijke aanbiedingen kunnen ontvangen. De keuze of je wil ‘betalen’ voor je privacy is uiteindelijk aan de klant. Alleen al de toenemende berichtgeving over privacy-incidenten rechtvaardigt naar de mening van de redactie de keuze voor een editie over Compliance & Privacy. Daarnaast staat er voor volgend jaar nieuwe nationale én Europese privacyregelgeving op de agenda: de meldplicht datalekken en de Europese Privacy Verordening met veel extra verplichtingen zoals een verplichte benoeming van een Privacy Officer (Functionaris voor Gegevensbescherming), verplichte Privacy Impact Assessments (PIA) bij gevoelige verwerkingen, maar ook nieuwe en zeer zware boetebevoegdheden voor de toezichthouders. Dit alles vraagt aandacht vanuit complianceperspectief. Privacy is wellicht soms een ondergeschoven kindje geweest, maar privacy wordt steeds volwassener en risicobeheersing doet op dit onderwerp steeds meer zijn intrede. Daarnaast is het nog steeds een uitdaging te voldoen aan de materiële vereisten van de Wet bescherming persoonsgegevens (Wbp) zoals het waarborgen van het recht op inzage en het waarborgen van de naleving van de informatieverplichting. De Compliance Officer kan hierin een meerwaarde bieden door dit vroeg te onderkennen en winst te halen uit een optimale procesinrichting voor organisaties. Daarnaast gaat privacy ook over fatsoensnormen, de mores van compliance. Het betreft niet alleen de wettoepassing maar ook de principes. Voor de Privacy Officer en Compliance Officer een mooie uitdaging om hierin samen op te trekken en de bewustwording te stimuleren. Deze editie begint met een interview met Peter Hustinx, hoofd van de Europese Toezichthouder voor Gegevensbescherming. In het interview wordt ingegaan op diverse actualiteiten, zoals onder andere de betrokkenheid bij het samenstellen van sanctielijsten, de Europese Privacy Verordening en zijn visie op Big Data. Het zal u opvallen dat we in deze editie veel artikelen hebben die gaan over Big Data of dit onderwerp zijdelings raken. Het artikel ‘Privacy Compliance voor Big Data’ van Jan-Jan Lowijs gaat daar uitgebreid op in. In zijn artikel legt hij uit wat Big Data is en waar de risico’s zitten, welke wetgeving hierop van toepassing is en wat deze wetgeving hierover zegt. Aan de hand van de negen aandachtsgebieden uit de Wbp die allen relevant zijn voor Big Data en waar de verantwoordelijke voor verwerking aan dient te voldoen geeft hij aan waar de moeilijkheden zitten. Vervolgens wijst hij ons op het snel overschrijden van The Creepy Line (wettelijk toegestaan, maar toch erg schadelijk) en geeft hij praktische overwegingen mee met betrekking tot het vertalen van dit kader naar de praktijk. In het artikel van Danny Smit en Joop Jansen leest u over de uitdaging waar financiële instellingen voor staan. Zij hebben de plicht om het klantbelang centraal te stellen en beschikken over veel informatie over hun klanten waarmee ze veel over hun klanten te weten kunnen komen, maar mogen zij dat zomaar gebruiken om hiermee het klantbelang centraal te stellen? Eén van de meest recente voorbeelden uit de wereld van de financiële dienstverlening op het gebied van Big Data, waar veel aandacht voor is geweest, is er één van maart jongstleden. ING kondigde aan een proef te willen starten met het doen van passende aanbiedingen op basis van het bestedingsgedrag van klanten, indien klanten dit zouden wensen. U heeft de kranten ook gelezen en de reacties om u heen gehoord, laten we het zo zeggen: de gemiddelde consument is hier nog niet aan toe. In het artikel Big Financials, Big Data? gaat Jean Paul van Schoonhoven hier nader op in. Aan de hand van dit voorbeeld schrijft hij over de toepassing van Big Data en de rol voor de Compliance Officer die de mogelijkheden hiervan ziet en de risico’s onderkent. Met de komst van meer informatie en persoonsgegevens wordt de beveiliging van al die informatie steeds belangrijker. De Wbp spreekt van een passend beveiligingsniveau, maar wat is dat precies? Jan Baas helpt u hier verder mee en geeft u aanbevelingen in zijn artikel ‘(Cyber)security en compliance’. In de Wbp staat ook dat een betrokkene het recht heeft op inzage in zijn persoonsgegevens. Voor een verantwoordelijke is niet altijd even duidelijk of altijd aan zo’n verzoek voldaan dient te worden en op welke wijze. Catherina Jakimowicz legt in haar artikel ‘Een inzageverzoek: wat nu?’ uit wat de belangrijkste stappen zijn die genomen dienen te worden om op een juiste wijze aan een verzoek tot inzage te voldoen. Jean Paul van Schoonhoven laat in zijn artikel ‘Is de Privacy Officer een Compliance Officer of toch niet?’ zijn gedachten gaan over het verschil en de overeenkomsten tussen deze twee functionarissen. Zoals elke editie is er ook deze editie een ‘Lessons Learned’ geschreven door Sjoerd Boerma en dit keer gaat het item over privacy. We sluiten deze editie af met het artikel ‘Een klokkenluidersregeling in het financieel toezicht; point of no return?!’ van Annemarije Schoonbeek. Hierin wordt aandacht besteed aan de toekomstige wettelijke verplichting van een klokkenluidersregeling in het financiële toezicht en in het bijzonder aan de privacybescherming van de klokkenluider zelf. Ik wens u veel plezier met het lezen van deze editie.