IQ-Pass verzorgde dinsdag 7 februari een seminar over privacy en bescherming van persoonsgegevens. Zo’n vijftig relaties lieten zich informeren over onder andere de strenge Europese privacywet, die volgend jaar van kracht wordt.

Het bedrijf IQ-Pass is onder andere actief in de bouwwereld met tijdelijke oplossingen voor toegangsregulering. Zo kan bijvoorbeeld voorkomen worden dat onbevoegden de bouwplaats betreden of dat een onderaannemer zonder dit te melden illegale werknemers inzet. Een punt van aandacht is dat hiervoor persoonsregistratie vereist is en dat de beheerder van de bouwwerk hier met de nodige zorgvuldigheid mee om zal moeten gaan.
Het is het bekende spanningsveld waarover jurist mr. Arthur van der Wees sprak. Aan de ene kant verplicht de overheid ondernemers tot een nauwgezette registratie en documentatie van persoonsgegevens in het kader van onder meer arbeids- en vreemdelingenwetgeving. Aan de andere kant zijn er restricties ten aanzien van de verwerking en opslag van persoonsgegevens.

Datalek
Tijdens het gratis lunchseminar ‘Compliance & Privacy: een lastige combinatie?’ probeerde Van der Wees het verhaal over compliance duidelijk te maken, wat gezien de complexheid van de materie geen eenvoudige opgave is. Want ook al houdt men zich ogenschijnlijk aan de regels, dan kan het in dit tijdperk van Cloud Computing en Internet of Things alsnog fout gaan. Want hoe gaat de eigenaar van de externe opslag met de data om? Wie is aansprakelijk als daar een datalek optreedt? Van der Wees, oprichter en eigenaar van Arthur’s Legal en onafhankelijk cloudexpert bij de Europese Commissie, waarschuwde voor de General Data Protection Regulation die nog veel strengere regels gaat verbinden aan het beheren van persoonsgegevens. Wat het extra moeilijk maakt zijn de snelle veranderingen. Veel kennis gaat bovendien de komende jaren verloren doordat veel ambtenaren met pensioen gaan en van de jeugd wordt verwacht dat 65 procent later een baan krijgt die nu nog niet bestaat!

Ecosysteem van informatie
Ook het ecosysteem van informatie wordt steeds complexer. Ondernemers delen data met klanten en leveranciers, maar blijven verantwoordelijk als gevoelige gegevens op straat komen te liggen. En dan is er natuurlijk nog het verhaal over hacking. 100 procent veiligheid is onmogelijk, stelde Van der Wees, maar 100 procent compliance kan wel. Dan hoeft men in ieder geval geen boetes te verwachten. Maar ook compliance is niet eenvoudig te realiseren. Het is niet een kwestie van aandachtspunten afvinken. Eerst moet duidelijk worden wie allemaal tot het ecosysteem behoren en dus toegang hebben tot de data. Dat zijn er meer dan menigeen denkt. Is de leverancier van Cloud-diensten te vertrouwen? En is de leverancier van die leverancier te vertrouwen? “Het uitgangspunt zijn de drie T’s”, stelde de jurist. “Transparance, Trust en Transformation.” Heel belangrijk is daarbij welke informatie de persoonsgegevens bevatten. Profiling is een van de belangrijkste onderdelen van de nieuwe Europese wet. Cloud en IoT moet de gebruiker zelf regelen, want deze begrippen waren nog niet bekend in 2011, toen de ‘nieuwe’ Europese wet werd geschreven.