De regering wil de boete voor slechte beveiliging bij bedrijven die persoonsgegevens laten lekken opschroeven. Waar bedrijven in een concept-wetsvoorstel 200.000 euro boete konden krijgen, wordt dat in het definitieve voorstel 450.000 euro. De boete kan opgelegd worden aan elk bedrijf waarvan persoonsgegevens zijn uitgelekt (bron).
Hoe vaak horen we binnen bedrijven niet dat we die beveiligingsmaatregelen nemen omdat het nu eenmaal van de Compliance afdeling moet? Ik hoor het al jaren om me heen en het lijkt er op dat niemand zich meer afvraagt waarom Compliance er eigenlijk op controleert.
Nu zijn er natuurlijk Compliance afdelingen die zelf ook geen flauw idee hebben en die zich vergeten af te vragen waarom ze eigenlijk controleren. Maar er zijn ook veel competente Compliance medewerkers te vinden.
Laten we er iets verder op inzoomen. Er zijn regels om risico’s af te dekken. Als we kunnen achterhalen welke risico’s dat zijn dan kunnen we daar goede “controls” op zetten. We moeten dus niet langer controleren om te controleren maar we moeten controleren om risico’s af te dekken. Als wij goed voor ogen hebben welke risico’s dat zijn dan kunnen we dat aan de medewerkers uitleggen en dan wordt het voor iedereen een stuk duidelijker waarom we sommige beveiligingsmaatregelen nemen.
En, toegegeven, er zijn binnen bedrijven veel, heel veel, beveiligingsmaatregelen die niet terug te leiden zijn tot een risico. Daarom pleit ik zelf altijd voor minder maatregelen in plaats van meer maatregelen en alles dicht spijkeren.
Het gaat hier te ver om alles volledig uit de doeken te doen (daar kun je hele boeken over schrijven als het moet en je mag me altijd vragen dan kom ik het bij een bak koffie aan je toelichten). Zaak is wel dat we verder kijken dan onze neus lang is en laten we dan bovenstaand artikel als voorbeeld nemen.
Je zou kunnen denken dat we maatregelen nemen om te voorkomen dat we een boete krijgen (voor veel bedrijven is dit ook zo, het gaat om kosten en omzet). Maar het gaat ook om imago. Je wilt dus maatregelen nemen om je imago te beschermen. Dat is allemaal leuk en aardig, maar uiteindelijk gaat het er natuurlijk om dat je de gegevens van je klanten beschermd. Dat is de reden dat we beveiliging moeten inregelen en dan is het opleggen van boetes slechts een pressiemiddel om het voor elkaar te krijgen.
We moeten als bedrijven niet langer “compliant” willen zijn, nee, we moeten er naar streven om “in control” te zijn. Hiermee beschermen we de gegevens van onze klanten en voorkomen we dat we hoge boetes krijgen. Er is nog een lange weg te gaan en die weg begint bij het bewust worden van de zaken die we moeten regelen en met name het antwoord op de vraag: waarom we dat moeten regelen.