Een nog steeds actuele podcast van SNIA tipt de link tussen privacy en protectie aan. In de Engelse taal en het Nederlands is de betekenis van die termen nagenoeg gelijk. Dat er een link is tussen die twee is makkelijker te begrijpen dan het bestaan van een paradox.
Stel: voor je is een laptop met daarop persoonsgegevens. Je hebt gehoord van de AVG dus toegang tot de laptop is moeilijk gemaakt en de bestanden zijn ook nog eens versleuteld. Wat kan er dan nog fout gaan? Kunnen de personen waarvan de gegevens op de laptop staan er van uitgaan dat “we take your privacy and sercurity seriously”? Een security persoon of AVG kenner zal noteren dat encryptie van data een goede zaak is. Zo wordt het lekken van data plus misbruik maken daarvan voorkomen. De kans is groot dat de AVG kenner daarbij de opmerking maakt dat indien de laptop in verkeerde handen komt er nog steeds sprake is van een datalek. Dat moet gemeld worden bij de toezichthouder en er moet worden bepaald wat over wat voor data er precies op de laptop stond.
Hoe legaal is de data?
Tot zo ver is er niets aan de hand. De vraag die echter gesteld moet worden – en hoe vaak dat gebeurt blijft gissen – is of die data op een legale wijze is verkregen.
Als op de laptop een deel van het klantenbestand stond, heeft de gebruiker van het device dan wel toestemming die data die al snel persoonsgegevens bevat lokaal op te slaan? Het kan zelfs zo zijn dat die data juist lokaal staat omdat de eigenaar niet wil dat die in het gecontroleerde bedrijfsnetwerk belanden.
Een kopie van het personeelsbestand van de concurrent, dat op slinkse wijze is verkregen, op een shared schijf zetten is weinig waarschijnlijk. Maar het kan ook iets heel onschuldigs zijn als het ledenbestand van de sportclub, waar de laptopgebruiker de administratie van doet.
Paradox
Wie een hoog niveau van protectie voor zijn device hanteert kan zo dus voorkomen dat anderen merken dat hij de regels voor de omgang met persoonsgegevens overtreedt en daarmee de privacy van derden schendt.
Bij grotere organisaties zal IT beheer in samenwerking met legal en compliance afdelingen wel procedures en regels hebben om dit te voorkomen. Bij kleinere organisaties en helemaal bij SoHo is het maar hopen dat daar zoveel aandacht aan protectie wordt besteed dat ongecontroleerde omvang van privacyschendingen beperkt blijft. Een ongemakkelijke paradox.
