In dit document kunt u lezen waarom de nieuwe privacywetgeving per 1-1-2016 geen exclusief "ICT feestje" is maar dat het veel belangrijke disciplines binnen organisaties raakt.
2. 2
Inleiding
De Wet Bescherming Persoonsgegevens (WBP) is de Nederlandse wetgeving die sinds 2001 van
kracht is voor het beschermen van de privacy van persoonsgegevens.
Deze WBP heeft per 1 januari 2016 een aantal belangrijke wijzigingen ondergaan.
De verandering in deze wetgeving dwingt bedrijven om (aantoonbaar) zorgvuldig om te gaan met
persoonsgegevens. De veranderingen die in de wetgeving zijn aangebracht:
Meldplicht voor datalekken
Vergroting van de boetebevoegdheid van de toezichthouder
Verandering van de naam van de toezichthouder
Meldplicht voor datalekken
Incidenten waarbij persoonsgegevens toegankelijk worden voor onbevoegden moeten in de
nieuwe wetgeving “onverwijld” (= binnen 72 uur!) worden gemeld aan de toezichthouder. Een
datalek kan ontstaan door een hackersaanval, een verloren USB-stick, Laptop, tablet of
smartphone, een fysieke inbraak, een verkeerd gestuurde email, etc. De melding aan de toezicht-
houder bevat een grote hoeveelheid gedetailleerde informatie zoals de aard van het datalek, hoe
het is ontstaan, welke maatregelen er genomen worden, hoeveel betrokkenen, en in hoeverre er
kans is op privacy schending van de betrokkenen. Indien er sprake is van privacy schending voor
de betrokkenen zal er ook een melding plaats moeten vinden aan alle betrokkenen.
Vergroting van de boetebevoegdheid van de toezichthouder
In de nieuwe wetgeving kan de toezichthouder een bestuurlijke boete opleggen van ten hoogste
de 6de
categorie van Artikel 23, vierde lid Wetboek van Strafrecht. Dit zijn boetes van materieel
belang. Deze boetes zullen niet direct uitgedeeld worden. De toezichthouder zal eerst een dwin-
gend advies afgeven, tenzij er sprake is van aantoonbaar verwijtbaar gedrag.
Verandering van de naam van de toezichthouder
Sinds afgelopen 1 januari 2016 heeft de toezichthouder (CBP, College Bescherming Persoonsgege-
vens) een andere naam gekregen. De toezichthouder heet nu: “Autoriteit Persoonsgegevens”.
3. 3
Wat betekent dit voor u?
De wijzigingen in de WBP heeft gevolgen voor bedrijven. Elk bedrijf heeft meerdere gegevensbe-
standen in gebruik waarin persoonsgegevens staan en moet dus voldoen aan de WBP. Denk maar
eens aan het klantenbestand en het eigen personeelsbestand.
De nieuwe wetgeving dwingt bedrijven en organisaties om aantoonbaar inzicht te hebben in de
gegevensverwerkingen en deze te beoordelen op juridische grondslag en privacy risico’s.
Pas als je weet wat de risico’s zijn kun je de juiste maatregelen nemen.
De meldplicht voor datalekken vereist dat een datalek binnen 72 uur wordt gemeld. Zo’n melding
bevat gedetailleerde gegevens over het datalek en de gegevens. Dit betekent dat er actuele in-
formatie over uw gegevensverwerkingen paraat moet zijn.
De verhoogde boetebevoegdheid van de toezichthouder betekent dat bedrijven nu kans lopen om
hoge boetes opgelegd te krijgen door de toezichthouder (Autoriteit Persoonsgegevens) in het
geval dat ze niet aan de nieuwe wetgeving voldoen. Boetes worden echter niet zomaar uitge-
deeld. Er wordt eerst een bindende aanwijzing gegeven, tenzij er sprake is van opzet of aantoon-
baar verwijtbaar gedrag.
Wie pakt dit binnen uw organisatie op?
De gevolgen van deze wetgeving reiken veel verder dan alleen uw IT- of security-afdeling. Het is
van belang dat bedrijven zich dit realiseren. De gevolgen van deze wijziging in de wetgeving
moeten eerder gezocht worden bij het Algemeen management / Juridische afdeling, de HR afde-
ling, de Financiële afdeling en Marketing & Communicatie. Hieronder een korte toelichting:
Jaarstukken (Accountancy, financieel management)
Indien een organisatie onvoldoende voorzorgen heeft genomen met betrekking tot de nieuwe
wetgeving is er een grote kans door de Autoriteit Persoonsgegevens beboet te worden. Deze boe-
tes zijn van materieel belang. Dit is een dusdanig hoog risico dat er een discussie zou kunnen ont-
staan met uw accountant in verband met de goedkeuring van de jaarstukken. Bij onacceptabele
hoge risico’s kan een accountant de jaarrekening niet goedkeuren.
Aansprakelijkheid (Juridische zaken)
Bij onvoldoende maatregelen of voorzieningen voor privacybescherming loopt een organisatie
grote kans dat klanten of ketenpartners een organisatie aansprakelijk stellen voor geleden schade,
gemaakte kosten of opgelegde boetes. Het laten controleren en aanpassen van de bewerkers-
overeenkomsten met uw hosting partijen en/of clouddienst providers (salarisverwerker, online
boekhouding, data-opslag, etc.) is daarom noodzakelijk.
Compliance (Raad van Bestuur, directie)
Documentatie met betrekking tot de compliance aan de nieuwe wetgeving dient aantoonbaar te
zijn en altijd beschikbaar. Het is van belang om altijd te kunnen aantonen, door middel van actue-
le documentatie en administratie, dat er inzicht is in de gegevensverwerkingen en privacy risico’s
en dat er aan de wetgeving wordt voldaan.
4. 4
HR (Personeelszaken)
Het voorkomen van datalekken voorkomt veel problemen en hoge boetes. Veilig gedrag van me-
dewerkers met ICT-middelen en bedrijfsinformatie maakt een organisatie weerbaar en verlaagt
het aantal security incidenten en datalekken. Security- en Privacy Awareness zijn belangrijke as-
pecten bij de dagelijkse werkzaamheden van alle medewerkers.
Reputatie (Marketing/Communicatie, Directie)
Voorkom dat u negatief in de publiciteit komt. Wat doet u bij een datalek?
Het is aan te raden een communicatie-actieplan klaar te hebben voor het geval er een datalek
optreedt waarover zaken in het nieuws kunnen komen. Wat en hoe gaat u “naar buiten toe”
communiceren?
Technische security maatregelen. (ICT, security)
De kans op datalekken kan gereduceerd worden als de juiste maatregelen worden genomen op
drie belangrijke pijlers: Mens, Organisatie en Techniek. Welke maatregelen dat zijn kunt u het
beste bepalen na een degelijk onderzoek aar de risico’s.
Wat de techniek betreft is het van belang om het netwerk met grote regelmaat of continu te
scannen op vulnerabilities, malware en de configuratie-settings. Hiervoor zijn bekende en geavan-
ceerde tools beschikbaar zoals Nessus en SecurityCenter.
Zoals u hierboven kunt lezen is deze ontwikkeling in de privacywetgeving niet iets wat "typisch
ICT" is. Het raakt (en vereist actie!) vanuit de directie, de juridische afdeling, HR en Marketing!
RI&E Security en RI&E Privacy
De RI&E (Risk Inventarisatie & Evaluatie) is voor elk bedrijf een bekend begrip vanuit de ARBO wet.
Om de status van uw ICT-veiligheid en uw waarborg voor privacybescherming in kaart te brengen
biedt Sebyde de RI&E Security en de RI&E Privacy aan. Dit zijn scherpe nulmetingen die u veel geld
kunnen besparen.
Bij een RI&E worden de meest belangrijke aandachtsgebieden van uw informatiebeveiliging en
gegevensverwerkingen onder de loep genomen. Pas als u weet wat de risico’s zijn kunt u de juiste
maatregelen nemen. U wilt niet onnodig veel beveiligen maar wel uw risico’s beperken en niet in
discussie komen met de toezichthouder. Zekerheid van minimale tijdsinvestering voor u en gede-
gen begeleiding door experts.
RI&E Security: U voorkomt hiermee grote digitale schade!
Met de RI&E Security van Sebyde brengt u feilloos alle risico’s van uw digitale werkvloer in kaart
en krijgt u een betrouwbaar beeld over de situatie met betrekking tot uw informatiebeveiliging.
Vraag de RI&E Security Checklist aan via www.sebyde.nl/rie-security
RI&E Privacy: Weet waar u staat met betrekking tot compliance aan de privacywetgeving!
Na de RI&E Privacy beschikt u over belangrijke informatie over uw gegevensverwerkingen. U krijgt
een betrouwbaar beeld over de situatie met betrekking tot de privacy risico’s van uw gegevens-
verwerkingen. Vraag de RI&E Privacy Checklist aan via www.sebyde.nl/rie-privacy
5. 5
Workshop “Privacy en de Meldplicht voor datalekken”
Vanuit onze Sebyde Academy bieden we een zeer goed gewaardeerde workshop aan over de
gevolgen van de nieuwe Wbp en de meldplicht datalekken. Deze workshop van 1 dag is bedoeld
voor iedereen die binnen een organisatie betrokken of verantwoordelijk is voor het waarborgen
van de veiligheid en de privacy van gegevens. Deze mensen dienen op de hoogte te zijn van de
privacywetgeving en de gevolgen van meldplicht datalekken. Dit kan bijvoorbeeld directie zijn,
financieel managers, personeelszaken, juridische medewerkers, ICT mensen.
Tijdens deze workshop behandelt onze FG (Functionaris Gegevensbescherming) de veranderingen
in de WBP en hij legt uit wat de gevolgen zijn van de meldplicht datalekken. Tevens wordt aan-
dacht besteed aan de maatregelen die je kunt nemen om je voor te bereiden op de nieuwe wet-
geving. Wat moet je doen en welke informatie moet je beschikbaar hebben voor de autoriteit in
het geval van een incident.
Deze workshop heeft momenteel veel belangstelling gezien de ontwikkelingen in de wetgeving.
Contact gegevens Sebyde BV en Sebyde Academy
Sebyde BV
Telefoon: 085 - 2733376
Email: info@sebyde.nl
Website Sebyde BV: www.sebyde.nl
Website Sebyde Academy: www.sebydeacademy.nl
LinkedIn: www.linkedin.com/company/sebyde-bv
Twitter: www.twitter.com/SebydeBV
Facebook: www.facebook.com/sebydeBV