Mr.

48 / Mr. 4 2021 privacyrecht “VEEL PRIVACYSTATEMENTS ZIJN GEDATEERD OP 25 MEI 2018, OM DE DEADLINE TE HALEN” leverd voor de advocatuur. “Gegevens- bescherming in brede zin (ook gegevens van bedrijven) heeft een enorme vlucht genomen. Het gaat hackers vaak om be- drijfsgeheimen. Drie jaar geleden had ik in mijn praktijk twee fte op privacy zit- ten, nu vijf. En daar ben ik geen uitzon- dering in.” Sinds 1 januari 2016, toen de meld- plicht van datalekken van kracht werd, heeft de urgentie van het onderwerp zich ook genesteld in de hoofden van de bestuurders. Thole: “Het manage- ment realiseert zich meestal wel dat je een datalek binnen 72 uur moet mel- den.” Na 25 mei 2018 is dat bewustzijn verder toegenomen.” Er kwamen oplei- dingen, kantoren gingen eigen secties vormen en de specialisatievereniging Vereniging Privacyrecht Advocaten (VPR-A) werd opgericht. Zwenne is er voorzitter van, Thole en Van Haperen zijn bestuurslid. “Op zichzelf is het natuurlijk prima als mensen het vakgebied betreden”, vindt Zwenne. “Maar het is niet gezegd dat ie- mand die tien jaar arbeidsrecht heeft ge- daan, ook meteen het privacyrecht be- heerst. We zien wel dossiers waarin het in de voorfase geweldig is misgegaan.” Wie lid wil worden van de VPR-A moet vol- doen aan een kennisvereiste en aantoon- baar minimaal vijf jaar actief zijn in het vak. De vereniging heeft het keurmerk specialisatieverenigingen van de Neder- landse Orde van Advocaten gekregen. HACKEN ALS BEDRIJFSMODEL Hoewel cybersecurity in het bedrijfsle- ven beter op de radar staat dan drie jaar geleden, valt het Van Haperen op dat veel ondernemingen, waaronder ook ad- vocatenkantoren, denken dat het alle- maal wel meevalt. “Ze menen dat hun gegevens niet zo interessant zijn voor derden. Maar dat klopt niet, want hac- ken is een bedrijfsmodel. Cybercrimine- len kijken vooral naar de waarde die de gegevens voor jou hebben. In negentig procent van de gevallen krijg je binnen een à twee weken na een hack een ransome request: ‘betalen of we publice- ren je gegevens’.” Gehackt worden heeft veel juridische di- mensies, zegt Van Haperen. “Je moet een hack niet alleen melden bij de privacy- toezichthouder, maar vaak ook bij de mensen en bedrijven van wie de gege- vens zijn gehackt, bij beurstoezichthou- ders of het Nationaal Cyber Security Centrum (NCSC). Als bedrijfsinforma- tie is buitgemaakt, heeft het bedrijf ge- heimhoudingsplichten tegenover klan- ten geschonden, en dat kan juridische claims opleveren. In Nederland moet je binnen 72 uur melden, in China soms binnen 24 uur. Dus bij een lek gaat de timer lopen. Als een multinational een lek heeft, dan heeft dat vaak gevolgen in veel landen waar dat bedrijf actief is. Dus dan ligt het voor de hand om zaken te doen met een groot kantoor dat we- reldwijd actief is. Bij dit soort zaken zijn we met minimaal vijftien advocaten vaak zes tot zeven weken bezig. Maar we hebben ook een Nederlands kantoor met vijf advocaten geadviseerd, die bezig waren met een heel gevoelig strafrechte- lijk dossier.” AANDACHT VOOR CYBERSECURITY Eind juni waarschuwde de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) dat de digitale risi- co’s voor de nationale veiligheid onver- minderd groot zijn. Volgens de NCTV vormen spionage en sabotage een groot risico. “Ook de inzet van ransome ware door criminelen kan maatschappij-ont- wrichtende gevolgen hebben”, meldt de NCTV in een persbericht. De dienst noemt de weerbaarheid tegen digitale inbraken onvoldoende. Van Haperen herkent dat beeld. Volgens hem benutten lang niet alle onderne- mers en advocatenkantoren de techni- sche mogelijkheden voor gegevensbe- scherming. “Dan heb ik het over retentieperiodes (hoe lang bewaar je iets?), wachtwoordbeleid, tweefactori- dentificatie en de sterkte van je fire- walls.” Hij vindt dat de Nederlandse Orde van Advocaten meer aandacht moet hebben voor cybersecurity. “Je wordt als advocaat enorm gemonitord en gecontroleerd op je financiële huis- houding en de Wwft, maar niet op je cy- berbeveiliging.” VEEL PANIEK Mede door de forse sanctiemogelijkhe- den in de AVG heeft het rechtsgebied een enorme vlucht genomen, zegt Thole. Zij onderscheidt drie focusgebieden: het melden van datalekken, de handhaving door de Autoriteit Persoonsgegevens (AP) en vragen over internationale doorgifte van persoonsgegevens, bij- voorbeeld bij het gebruikmaken van Amerikaanse IT-leveranciers. “Omdat de AP vanaf 25 mei 2018 kon handhaven, was er in de aanloop veel paniek”, herinnert Thole zich. “Veel pri- vacystatements zijn gedateerd op 25 mei 2018, om de deadline te halen.” Compli- ance vergt volgens haar voortdurend aandacht. “Wel is het accent van ons werk verschoven naar het bijstaan van cliënten bij procedures.” De AP kan reageren op klachten, maar kan ook uit eigen beweging vragen Olaf van Haperen (Eversheds Sutherland) Gerrit-Jan Zwenne (Universiteit Leiden/Pels Rijcken)