Nieuwe privacywetgeving en uw gegevensverwerkingen.

WBP

U zult intussen wel op de hoogte zijn van het feit dat er op 1-1-2016 een nieuwe privacywetgeving (WBP) is ingegaan. Deze nieuwe (Nederlandse) wetgeving is een voorloper op de nieuwe Europese Privacywetgeving die voor alle Europese lidstaten van kracht zal worden.

Iedereen

Alle organisaties waar persoonsgegevens worden verwerkt moeten voldoen aan de WBP. Dit geldt ook als de gegevens worden verwerkt bij een derde partij (clouddienst, bijv. salarisverwerker).
Dit betekent in de praktijk dat alle bedrijven moeten voldoen aan de WBP aangezien elk bedrijf wel een klantenbestand bezit of een personeelsbestand met (vertrouwelijke) persoonsgegevens.

Autoriteit

De instantie die toezicht houdt op naleving van de WBP is de “Autoriteit Persoonsgegevens”.
De Autoriteit stelt “de verantwoordelijke” in uw organisatie aansprakelijk wanneer zich een incident voordoet waarbij persoonsgegevens toegankelijk worden voor onbevoegden. Dit is een situatie waarin u niet terecht wilt komen. Het voorkomen van datalekken moet dus een grote prioriteit krijgen. Dit kan door middel van een goed security- en privacybeleid wat gebouwd is op de drie belangrijke pijlers in de organisatie: de Mens, de Organisatie en de Techniek.

Compliance

Deze nieuwe wetgeving heeft niet alleen gevolgen voor ICT.
Het heeft vergaande consequenties voor de aansprakelijkheid van organisaties.

HR/Personeelszaken worden door de wetswijziging ook geraakt omdat veilig gedrag van medewerkers met bedrijfsgegevens van groot belang is bij het voorkomen van datalekken.

Meldplicht

Voor het geval er toch iets mis gaat moet je aan de Autoriteit kunnen aantonen dat je er alles aan gedaan hebt om de gegevens goed te beschermen en dat je precies weet welke gegevensverwerkingen er in je organisatie plaatsvinden. Datalekken dienen binnen 72 uur gemeld te worden aan de Autoriteit. Bij de melding vraagt de Autoriteit om gedetailleerde informatie over je gegevens, de security, wat er is gebeurd, hoe het lek is ontstaan, welke gegevens er zijn gelekt en de mogelijke privacy-impact voor de betrokkenen. U kunt er dus maar beter voor zorgen dat u dergelijke informatie “paraat” heeft.

RI en E risico inventarisatie en evaluatie privacy wet meldplicht data lekken

RI&E Privacy

De eerste stap is een basisbepaling (nulmeting). Met de RI&E Privacy worden alle gegevensverwerkingen in kaart gebracht en beoordeeld op mogelijke privacy risico’s.
Bij de Privacy RI&E (Risico Inventarisatie & Evaluatie) maken we de gegevensverwerkingen inzichtelijk, hoe de verantwoordelijkheden liggen en welke systemen en applicaties betrokken zijn bij de gegevensverwerkingen.

• Welke persoonsgegevens worden er in de organisatie verwerkt?
• Hoe is de organisatie opgebouwd?
• Wat zijn de betrokken netwerken, systemen en applicaties?
• Welke afdelingen zijn er betrokken bij het verwerken van persoonsgegevens?
• Welke verwerkingen worden er met / op die persoonsgegevens uitgevoerd?
• Aan welke wetgeving moeten deze verwerkingen voldoen? (Juridische check)
• Welk security- en privacy- beleid is er al geïmplementeerd?

Checklist

De praktische uitvoering van deze stap bestaat uit het invullen van een RI&E vragenlijst en een aantal interview-sessies met de betrokken personen / afdelingen om de benodigde informatie te verkrijgen. Vervolgens wordt de verkregen informatie beoordeeld door onze FG (Functionaris Gegevensbescherming). Waar nodig zal een beoordeling van de bedrijfsjurist gevraagd worden met betrekking tot overige wetgeving waaraan het bedrijf moet voldoen.
De RI&E Privacy Checklist kan vrijblijvend worden opgevraagd via www.sebyde.nl/rie-privacy