Onbewuste AVG-overtredingen

Waarom onduidelijkheid over persoonsgegevens tot overtredingen leidt

Veel organisaties hebben nog steeds geen volledig beeld van wat onder persoonsgegevens valt, waardoor zij onbewust meer risico lopen dan ze denken. Het begrip persoonsgegevens is binnen de AVG breder dan velen aannemen: naast duidelijke identificatoren zoals namen, adressen en geboortedata vallen ook technische gegevens zoals IP-adressen, device-identifiers, klikgedrag, locatiegeschiedenis en zelfs klantnummers hieronder. Zelfs informatie die slechts indirect tot een individu kan worden herleid, zoals gehashte data of interne referentiecodes, wordt als persoonsgegeven beschouwd. Dat leidt ertoe dat bedrijven persoonsgegevens opslaan of verwerken die zij zelf niet als zodanig herkennen. Hierdoor werken teams vaak zonder geldige juridische grondslag of gebruiken ze data voor nieuwe doeleinden zonder toestemming of aanvullende toetsing. Vooral marketing, sales en IT zijn geneigd informatie te bewaren “omdat het handig kan zijn”. Dit gebrek aan duidelijkheid zorgt ervoor dat veel organisaties dagelijks overtredingen begaan zonder dat iemand zich bewust is van het risico.

Waarom gebrek aan overzicht en controle zorgt voor risico’s

De moderne IT-omgeving is gefragmenteerd: bedrijven maken gebruik van cloudoplossingen, mobiele apparaten, SaaS-toepassingen, externe marketingtools en samenwerkingsplatformen. Daardoor verspreiden persoonsgegevens zich ongemerkt over tientallen systemen, vaak zonder centraal beheer. Gegevens belanden in mailboxen, downloads, gedeelde netwerkschijven, persoonlijke mappen, CRM-systemen, ticketsystemen en vergeten back-ups. Dit gebrek aan overzicht maakt het vrijwel onmogelijk om te bepalen welke gegevens waar staan, wie er toegang toe heeft en of de beveiliging voldoet aan AVG-eisen. Bovendien worden bewaartermijnen nauwelijks gehandhaafd: e-mails blijven onbeperkt staan, oude klantbestanden worden niet opgeschoond en historische data wordt bewaard omdat niemand precies weet of deze nog nodig is. Ook dataminimalisatie gaat vaak mis doordat bedrijven automatisch elk gegevensveld opslaan dat een systeem aanbiedt. Het risico is dat persoonsgegevens zonder noodzaak worden gedeeld met externe partijen, soms zelfs buiten de EU, zonder dat het bedrijf dit doorheeft. Hierdoor ontstaat structurele non-compliance, ook bij organisaties die op papier denken dat ze het goed geregeld hebben.

Waarom menselijke fouten en zwakke processen grote gevolgen hebben

Een aanzienlijk deel van AVG-overtredingen is terug te leiden naar menselijk gedrag en onduidelijke processen. Medewerkers sturen documenten naar de verkeerde ontvanger, delen persoonsgegevens via ongecodeerde chatkanalen, slaan data op in persoonlijke accounts of gebruiken diensten zoals Dropbox en Google Drive zonder dat privacy-afspraken zijn gemaakt. Deze kleine handelingen kunnen leiden tot grote datalekken die verplicht gemeld moeten worden bij de toezichthouder. Veel bedrijven investeren echter te weinig in training, waardoor teams niet weten welke risico’s aan hun dagelijks werk kleven. Daarnaast schort het vaak aan goede controle op leveranciers en softwarepartners. Bedrijven sluiten verwerkersovereenkomsten te laat af, controleren beveiligingsmaatregelen niet actief of gebruiken tools puur op basis van functionaliteit zonder na te gaan of deze voldoen aan de AVG. Wanneer interne processen voor het afhandelen van inzageverzoeken, rectificaties, verwijderverzoeken of datalekken ontbreken, ontstaat een situatie waarin organisaties niet kunnen aantonen dat zij zorgvuldig handelen. Omdat aantoonbaarheid een kernvereiste van de AVG is, vormt juist die zwakke structuur een van de grootste oorzaken van onbewuste overtredingen.