Privacy, Cyber Security en Compliance - Redactioneel

In dit nummer staan 'Privacy, cyber security, analytics, technology en compliance' centraal. Hoe goed hebben organisaties hun cybersecurity en gegevensbescherming op orde? Welke nieuwe technologieën en regelgeving komen er op ons af? En wat betekent dit allemaal voor de compliance officer? Het zijn zeer actuele vragen, waar in dit nummer aan de hand van een aantal mooie artikelen bij stil wordt gestaan.

De steeds verdergaande digitalisatie leidt tot een grotere verzameling aan data, inclusief persoonsgegevens. Helaas komen daarmee ook datalekken vaker voor. Onder de Algemene Verordening Gegevensbescherming (AVG) is er een meldplicht voor deze datalekken geintroduceerd: aan de Autoriteit Persoonsgevens (AP) en in sommige gevallen ook aan de individuen zelf. Bernold Nieuwesteeg en Eva Eijkelenboom bieden de lezer drie verschillende perspectieven om te bezien of deze meldplicht organisaties ook stimuleert tot compliance. Achtereenvolgens wordt de lezer meegenomen langs het juridisch, organisatorisch, en maatschappelijk perspectief van compliance met de meldplicht datalekken.

Patrick Özer en Lars Jacobs bekijken het bredere Europese regelgevend kader omtrent cyber security incidenten. In het bijzonder worden de volgende Europese richtlijnen en verordeningen besproken: de AVG, Payment Services Directive 2 (PSD2), Netwerk- en InformatieBeveiliging 2 (NIB2), en Digitale Operationele Veerkracht voor de Financiële Sector (DORA). Van alle vier worden de verschillende notificatie- en rapportageverplichtingen besproken. De auteurs geven vervolgens hun visie over de veranderende verhouding tussen de Chief Information (Security) Officer en de Compliance Officer.

De introductie van de AVG zordge voor de vastlegging van de functie 'Data Protection Officer (DPO)'. Mitchell Hendriks en Stijn Sarneel zetten in hun artikel enkele valkuilen bij het aanstellen van zo'n DPO uiteen, zoals het ontoereikend inbedden binnen de governance structuur of onvoldoende kennis van zaken. Tevens worden enkele handvaten aangereikt die de situatie kunnen verbeteren, zoals het kiezen van een juiste risicogestuurde benadering en een goede inbedding binnen de organisatie.

Er zijn natuurlijk legitieme redenen om data tussen organisaties te delen. Een voorbeeld hiervan is de informatie uitwisseling tussen het Financieel Expertise Centrum (FEC) en diverse banken in de strijd tegen fraude en georganiseerde criminaliteit. Een dergelijke samenwerking tussen bestuursorganen en private partijen krijgt een nieuwe juridische basis: de wet gegevensverwerking door samenwerkingsverbanden (WGS). Joop Jansen belicht verscheidene aspecten van deze WGS. Er wordt gekeken of er een mogelijke uitholling plaatsvindt van fundamentele beginselen, zoals onschuldigheidspresumptie, en naar verscheidene risico's voor betrokken banken. De WGS lijkt een mooi nieuw middel in de strijd tegen criminaliteit maar de auteur waarschuwt voor valkuilen.

Tot slot bespreekt Edgar Karssing in zijn vaste rubriek 'Uit de boekenkast van de bedrijfsethiek' twee boeken: Why they do it. Inside the mind of the white-collar criminal van Eugene Soltes en The behavioral code. The hidden ways the law makes us better … or worse van Benjamin van Rooij en Adam Fine.

Namens de redactie veel leesplezier gewenst,

Ebbe Rogge, Mirna Sivro en Danny Smit