Wet Bescherming Persoonsgegevens

De Wet Bescherming Persoonsgegevens (WBP) is de Nederlandse wetgeving die sinds 2001 van kracht is voor het beschermen van de privacy van persoonsgegevens. Deze WBP zal per 1 januari 2016 een aantal belangrijke wijzigingen ondergaan.

De verandering in deze wetgeving dwingt bedrijven om (aantoonbaar) zorgvuldig om te gaan met persoonsgegevens. De veranderingen die in de wetgeving worden aangebracht:

  • Meldplicht voor datalekken
  • Vergroting van de boetebevoegdheid van de toezichthouder
  • Verandering van de naam van de toezichthouder

Meldplicht voor datalekken

Incidenten waarbij persoonsgegevens toegankelijk worden voor onbevoegden moeten in de nieuwe wetgeving “onverwijld” (= binnen 72 uur!) worden gemeld aan de toezichthouder. Een datalek kan ontstaan door een hackersaanval, een verloren USB stick, Laptop, tablet of smartphone, een fysieke inbraak, een verkeerd gestuurde email, etc. De melding aan de toezichthouder bevat een grote hoeveelheid gedetailleerde informatie zoals de aard van het datalek, hoe het is ontstaan, welke maatregelen er genomen worden, hoeveel betrokkenen, en in hoeverre er kans is op privacy schending van de betrokkenen. Indien er sprake is van privacy schending voor de betrokkenen zal er ook een melding plaats moeten vinden aan alle betrokkenen.

Boetebevoegdheid van de toezichthouder

In de nieuwe wetgeving kan de toezichthouder een bestuurlijke boete opleggen van ten hoogste de 6de categorie van Artikel 23, vierde lid Wetboek van Strafrecht. Dit zijn boetes van materieel belang. De maximale boete bedraagt 820.000 Euro of 10 % van de jaaromzet van het bedrijf. Deze boetes zullen niet direct uitgedeeld worden. De toezichthouder zal eerst een dwingend advies afgeven, tenzij er sprake is van aantoonbaar verwijtbaar gedrag.

Verandering van de naam van de toezichthouder

Per 1 januari 2016 zal de toezichthouder (CBP, College Bescherming Persoonsgegevens) een andere naam krijgen. De toezichthouder zal gaan heten: “Autoriteit Persoonsgegevens”.

Wat betekent dit voor u?

De wijzigingen in de WBP heeft gevolgen voor bedrijven. Elk bedrijf heeft een of meerdere bestanden in gebruik waarin persoonsgegevens staan en moet dus voldoen aan de WBP. Denk maar eens aan het klantenbestand en het eigen personeelsbestand. Algemeen gesteld komt het erop neer dat je inzicht moet hebben in de gegevensverwerkingen in de organisatie om goed te kunnen beoordelen wat de mogelijke privacy-risico’s op de persoonsgegevens zijn.

De meldplicht voor datalekken vereist dat een datalek binnen 72 uur wordt gemeld. Zo’n melding bevat gedetailleerde gegevens over het datalek en de gegevens. Dit betekent dat er informatie over de gegevensverwerkingen paraat moet zijn.

De verhoogde boetebevoegdheid van de toezichthouder betekent dat bedrijven kans lopen om boetes te ontvangen van materieel belang in het geval dat ze niet aan deze nieuwe wetgeving voldoen.

Wie moet dit binnen uw organisatie oppakken?

Het is van belang dat bedrijven zich realiseren dat deze wetswijziging niet uitsluitend gevolgen heeft voor de ICT- of security-afdeling. De gevolgen van deze wetswijzigingen moeten eerder gezocht worden bij het Algemeen management / Juridische afdeling, de HR afdeling, de Financiële afdeling en Marketing & Communicatie. Hieronder een korte toelichting:

Jaarstukken (Discipline : Accountancy, financieel management)

Met de nieuwe wetgeving is de toezichthouder bevoegd bestuurlijke boetes uit te delen van materieel belang: tot 820.000 Euro of in sommige gevallen 10% van de jaaromzet. Indien een organisatie onvoldoende voorzorgen heeft genomen met betrekking tot de nieuwe wetgeving is er een grote kans door de Autoriteit Persoonsgegevens beboet te worden. Dit is een dusdanig hoog risico dat er een discussie zou kunnen ontstaan met uw accountant.

Aansprakelijkheid (Discipline: Juridische zaken)

Bij onvoldoende maatregelen of voorzieningen voor privacy bescherming loopt een organisatie grote kans dat klanten of ketenpartners een organisatie aansprakelijk stellen voor geleden schade, gemaakte kosten of opgelegde boetes. Het laten controleren en aanpassen van de bewerkers-overeenkomsten met uw hosting partijen en/of clouddienst providers (salarisverwerker, online boekhouding, etc.) is daarom van groot belang.

Compliance (Discipline: Raad van Bestuur, directie)

Documentatie met betrekking tot de compliance aan de nieuwe wetgeving dient aantoonbaar te zijn en altijd beschikbaar. Bedrijven dienen hiervoor informatie beschikbaar te hebben. Ook hier weer risico op hoge boetes als een organisatie onvoldoende kan aantonen, door middel van actuele documentatie en administratie, dat ze aan de wetgeving voldoen en informatie beschikbaar hebben over de gegevensverwerkingen.

Awareness (Discipline: Personeelszaken)

Het voorkomen van datalekken voorkomt veel problemen en hoge boetes. Veilig gedrag van medewerkers met ICT middelen en bedrijfsinformatie is daarom van groot belang om de kans op cybercriminaliteit en datalekken te verkleinen. Security- en Privacy Awareness worden belangrijke aspecten bij de dagelijkse werkzaamheden van alle medewerkers. Bewust personeel maakt de organisatie weerbaar en verlaagt het aantal security incidenten.

Reputatie (Discipline: Marketing/Communicatie, Directie)

Voorkom dat u negatief in de publiciteit komt. Wat doet u bij een datalek?
Het is aan te raden een communicatie-actieplan klaar te hebben voor het geval er een datalek optreedt waarover zaken in het nieuws kunnen komen. Wat en hoe gaat u “naar buiten toe” communiceren?

Technische security maatregelen. (Discipline: ICT, security)

De kans op datalekken kan gereduceerd worden als de juiste maatregelen worden genomen op drie belangrijke pijlers: Mens, Organisatie en Techniek. Welke maatregelen dat zijn kunt u het beste bepalen na een degelijk onderzoek van de risico’s.

Wat de techniek betreft is het van belang om het netwerk met grote regelmaat of continu te scannen op vulnerabilities, malware en de configuratie-settings. Hiervoor zijn bekende en geavanceerde tools beschikbaar zoals Nessus en SecurityCenter.

Zoals u hierboven kunt lezen is deze ontwikkeling in de Privacy wetgeving niet iets wat “typisch ICT” is. Het raakt (en vereist actie!) vanuit de directie, de juridische afdeling, HR en Marketing.

RI&E Security en RI&E Privacy

De RI&E (Risk Inventarisatie & Evaluatie) is voor elk bedrijf een bekend begrip vanuit de ARBO wet. Om de status van uw ICT-veiligheid en uw waarborg voor privacybescherming in kaart te brengen biedt Sebyde de RI&E Security en de RI&E Privacy aan. Dit zijn scherpe nulmetingen die u veel geld kunnen besparen.

Bij een RI&E worden de meest belangrijke aandachtsgebieden van uw informatiebeveiliging en gegevensverwerkingen onder de loep genomen. Pas als u weet wat de risico’s zijn kunt u de juiste maatregelen nemen. U wilt niet onnodig veel beveiligen maar wel uw risico’s beperken en niet in discussie komen met de toezichthouder. Zekerheid van minimale tijdsinvestering voor u en gedegen begeleiding door experts.

RI&E Security

Met de RI&E Security van Sebyde brengt u feilloos alle risico’s van uw digitale werkvloer in kaart en krijgt u een betrouwbaar beeld over de situatie met betrekking tot uw informatiebeveiliging.

RI&E Privacy

Na de RI&E Privacy beschikt u over belangrijke informatie over uw gegevensverwerkingen. U krijgt een betrouwbaar beeld over de situatie met betrekking tot de privacy risico’s van uw gegevensverwerkingen. Lees meer RI&E-privacy