Geldt de nieuwe privacy wetgeving ook voor ons?

Privacy wet

Waarschijnlijk heeft u de laatste tijd de berichten wel gelezen over de veranderingen in de privacy wetgeving. Het voorstel voor een verandering in de Nederlandse Privacy wetgeving is intussen zowel door de Tweede als de Eerste kamer aangenomen. De voornaamste veranderingen omvat een meldplicht voor datalekken en een vergroting van de boetebevoegdheid van de toezichthouder.

Incident meldenprivacy-cloud

Bij een incident waarbij persoonsgegevens uit uw organisatie “lekken” (met andere woorden: toegankelijk worden voor derden) dient u straks binnen 24 uur een melding te maken aan de toezichthouder. Deze melding moet informatie bevatten over de aard van het lek, welke gegevens het betreft, welke  betrokkenen, wat is de oorzaak, welke maatregelen er genomen zijn en nog worden genomen, etc. etc. etc.  Indien de gelekte informatie schadelijke gevolgen kan hebben voor de betrokkenen dienen ook alle betrokkenen te worden ingelicht. Deze nieuwe wetgeving heeft grote gevolgen voor bedrijven. De vergroting van de boetebevoegdheid van de toezichthouder maakt het nu mogelijk om “bestuurlijke boetes” uit te delen. Dit zijn boetes van materieel belang: 810.000 Euro.

Nulmeting

Voorbereiding door middel van een “nulmeting” is van groot belang. Als je niet weet wat je hebt kun je het ook niet beschermen. Ieder bedrijf wordt geadviseerd om in kaart te brengen welke gegevens er in de organisatie worden verwerkt en welke verwerkingen op de gegevens worden uitgevoerd. Een juridische beoordeling geeft dan duidelijkheid aan welke bepaalde wet- en regelgeving je moet voldoen.

Datalek

Een datalek kan door verschillende oorzaken ontstaan. Het meest voor de hand liggende voorbeeld is dat een bestand met persoonsgegevens door een hackers-aanval gestolen wordt. Maar ook het verliezen / stelen van een laptop, smartphone, tablet of USB-stick is een datalek als er persoonsgegevens op staan. Breng daarom de verwerkingen met persoonsgegevens goed in kaart. Wie hebben er toegang? Waar staat het opgeslagen?

Ketenaansprakelijkheid

Als u uw gegevens “in de Cloud” heeft staan betekent dit niet dat u zich kunt onttrekken aan deze wetgeving. Iedere organisatie heeft een “verantwoordelijke” die verantwoordelijk is voor het waarborgen van de privacy van de verwerkte persoonsgegevens en die bij een incident aansprakelijk gesteld zal worden door de toezichthouder. Het maakt dus niet uit waar die data opgeslagen wordt. Het hebben van goede bewerkers-overeenkomsten met uw cloud-providers is daarom belangrijk. Laat daarom die overeenkomsten eens beoordelen door een FG. (Functionaris Gegevensbescherming).

Iedereen

Het maakt niet uit hoeveel persoonsgegevens u verwerkt. Elk bestand of verwerking met persoonsgegevens is  aanleiding om aan de privacy-wetgeving te moeten voldoen dus ook aan de meldplicht voor datalekken.