Gevoelige informatie delen? Houd je poot stijf!

Op het moment dat ik deze column schrijf, is het nog geen 25 mei 2018: de deadline voor de nieuwe Europese Privacywetgeving. Bedrijven werken koortsachtig een aantal punten weg om nog snel te kunnen voldoen aan de nieuwe regels, die soms heel ver gaan. Het lijkt er nu op dat heel veel bedrijven die deadline van 25 mei nog niet gaan halen. De overheid geeft ook niet echt het goede voorbeeld, zelfs de belastingdienst heeft nog lang niet alles op orde om onze persoonsgegevens naar behoren te beschermen.

De Wet Openbaarheid van Bestuur lijkt soms haaks op de privacywetgeving te staan. Als een bedrijf bijvoorbeeld een vergunning aanvraagt is de achterliggende informatie door elk bedrijf, maar ook door iedere burger, goed- of kwaadwillend, in te zien. Alleen concurrentiegevoelige informatie van bedrijven kan meestal onder de pet blijven, al worden ook hierop met regelmaat uitzonderingen mogelijk gemaakt door de rechter en het Verdrag van Aarhus.

Zeker nu de aandacht zich zo richt op bescherming van gegevens en gevoelige informatie, krabben bedrijven zich wel eens achter de oren. Vooral bedrijven die risicovolle activiteiten uitvoeren, zij die vallen onder de Brzo-categorie, moeten zich bewust zijn van de informatie die zij delen en het risico dat dat met zich meebrengt. Zo zijn bedrijven die met gevaarlijke stoffen werken of deze opslaan verplicht om een preventiebeleid zware ongevallen (PBZO) op te stellen. Daarnaast moeten zij de procedures opstellen ter voorkoming van zware ongevallen en, als er dan onverhoopt toch iets gebeurt, de beheersing van de effecten daarvan. Die procedures worden vastgelegd in een veiligheidsbeheerssysteem (VBS). Komt een bedrijf met de soort of hoeveelheid gevaarlijke stoffen boven de hoge drempelwaarde, dan er moet ook nog een veiligheidsrapport (VR) opgesteld en ingediend worden bij het bevoegd gezag. Hierin staat beschreven welke technische voorzieningen en organisatorische maatregelen zijn genomen om de risico’s te beheersen. Dat is een bak vol zeer waardevolle informatie voor hen die kwaad in de zin hebben!

Om vergunningaanvragen voor te bereiden, maar zeker om procedures op te stellen om zware ongevallen te voorkomen en een veiligheidsrapport op te stellen, verzamelen bedrijven enorm veel detailinformatie. Het gebeurt nogal eens dat een handhaver of inspecteur zich goed wil voorbereiden op een bedrijfsbezoek en zich vast wil inlezen. Een nobel streven. Maar als een handhaver dat soort informatie opvraagt, ga je daar dan op in? Het risico van het rondsturen van dit soort gevoelige detailinformatie is groot. Waar wordt de informatie bewaard? Wordt de informatie afgedrukt als voorbereiding op het bedrijfsbezoek? Of wordt deze gemakshalve even op een USB-stickje in de tas meegenomen? Nu heb ik op zich een redelijk positieve kijk op de wereld, maar een ongeluk zit in een klein hoekje. Een map of USB-stick met informatie is zo uit een auto gestolen, waardoor de gevoelige informatie eigenlijk gewoon op straat ligt.

Ik raad bedrijven dan ook met klem aan de poot stijf te houden en dit soort detailinformatie niet zo maar vrij te geven, ook niet aan de overheid. Maar natuurlijk ben ik ook voor openheid. Er is niet mis mee om een inspecteur of handhaver uit te nodigen om onder het genot van een kopje koffie de betreffende informatie ter plaatse in te zien. Wel eerst even de telefoon bij de poort inleveren dan.

Henk Krols is partner en adviseur bij BMD Advies Zuid-Nederland, het adviesbureau op het brede vlak van maatschappelijk verantwoord ondernemen, veiligheid, milieu, arbo en energie.