Nieuwe Privacywetgeving per 1-1-2016.

Wat betekent dit voor u?

2

Inleiding

De Wet Bescherming Persoonsgegevens (WBP) is de Nederlandse wetgeving die sinds 2001 van

kracht is voor het beschermen van de privacy van persoonsgegevens.

Deze WBP heeft per 1 januari 2016 een aantal belangrijke wijzigingen ondergaan.

De verandering in deze wetgeving dwingt bedrijven om (aantoonbaar) zorgvuldig om te gaan met

persoonsgegevens. De veranderingen die in de wetgeving zijn aangebracht:

Meldplicht voor datalekken

Vergroting van de boetebevoegdheid van de toezichthouder

Verandering van de naam van de toezichthouder

Meldplicht voor datalekken Incidenten waarbij persoonsgegevens toegankelijk worden voor onbevoegden moeten in de nieuwe wetgeving “onverwijld” (= binnen 72 uur!) worden gemeld aan de toezichthouder. Een datalek kan ontstaan door een hackersaanval, een verloren USB-stick, Laptop, tablet of smartphone, een fysieke inbraak, een verkeerd gestuurde email, etc. De melding aan de toezicht-houder bevat een grote hoeveelheid gedetailleerde informatie zoals de aard van het datalek, hoe het is ontstaan, welke maatregelen er genomen worden, hoeveel betrokkenen, en in hoeverre er kans is op privacy schending van de betrokkenen. Indien er sprake is van privacy schending voor de betrokkenen zal er ook een melding plaats moeten vinden aan alle betrokkenen. Vergroting van de boetebevoegdheid van de toezichthouder In de nieuwe wetgeving kan de toezichthouder een bestuurlijke boete opleggen van ten hoogste de 6de categorie van Artikel 23, vierde lid Wetboek van Strafrecht. Dit zijn boetes van materieel belang. Deze boetes zullen niet direct uitgedeeld worden. De toezichthouder zal eerst een dwin-gend advies afgeven, tenzij er sprake is van aantoonbaar verwijtbaar gedrag. Verandering van de naam van de toezichthouder Sinds afgelopen 1 januari 2016 heeft de toezichthouder (CBP, College Bescherming Persoonsgege-vens) een andere naam gekregen. De toezichthouder heet nu: “Autoriteit Persoonsgegevens”.

3

Wat betekent dit voor u? De wijzigingen in de WBP heeft gevolgen voor bedrijven. Elk bedrijf heeft meerdere gegevensbe-standen in gebruik waarin persoonsgegevens staan en moet dus voldoen aan de WBP. Denk maar eens aan het klantenbestand en het eigen personeelsbestand. De nieuwe wetgeving dwingt bedrijven en organisaties om aantoonbaar inzicht te hebben in de gegevensverwerkingen en deze te beoordelen op juridische grondslag en privacy risico’s. Pas als je weet wat de risico’s zijn kun je de juiste maatregelen nemen. De meldplicht voor datalekken vereist dat een datalek binnen 72 uur wordt gemeld. Zo’n melding bevat gedetailleerde gegevens over het datalek en de gegevens. Dit betekent dat er actuele in-formatie over uw gegevensverwerkingen paraat moet zijn. De verhoogde boetebevoegdheid van de toezichthouder betekent dat bedrijven nu kans lopen om hoge boetes opgelegd te krijgen door de toezichthouder (Autoriteit Persoonsgegevens) in het geval dat ze niet aan de nieuwe wetgeving voldoen. Boetes worden echter niet zomaar uitge-deeld. Er wordt eerst een bindende aanwijzing gegeven, tenzij er sprake is van opzet of aantoon-baar verwijtbaar gedrag.

Wie pakt dit binnen uw organisatie op? De gevolgen van deze wetgeving reiken veel verder dan alleen uw IT- of security-afdeling. Het is van belang dat bedrijven zich dit realiseren. De gevolgen van deze wijziging in de wetgeving moeten eerder gezocht worden bij het Algemeen management / Juridische afdeling, de HR afde-ling, de Financiële afdeling en Marketing & Communicatie. Hieronder een korte toelichting: Jaarstukken (Accountancy, financieel management) Indien een organisatie onvoldoende voorzorgen heeft genomen met betrekking tot de nieuwe wetgeving is er een grote kans door de Autoriteit Persoonsgegevens beboet te worden. Deze boe-tes zijn van materieel belang. Dit is een dusdanig hoog risico dat er een discussie zou kunnen ont-staan met uw accountant in verband met de goedkeuring van de jaarstukken. Bij onacceptabele hoge risico’s kan een accountant de jaarrekening niet goedkeuren. Aansprakelijkheid (Juridische zaken) Bij onvoldoende maatregelen of voorzieningen voor privacybescherming loopt een organisatie grote kans dat klanten of ketenpartners een organisatie aansprakelijk stellen voor geleden schade, gemaakte kosten of opgelegde boetes. Het laten controleren en aanpassen van de bewerkers-overeenkomsten met uw hosting partijen en/of clouddienst providers (salarisverwerker, online boekhouding, data-opslag, etc.) is daarom noodzakelijk. Compliance (Raad van Bestuur, directie) Documentatie met betrekking tot de compliance aan de nieuwe wetgeving dient aantoonbaar te zijn en altijd beschikbaar. Het is van belang om altijd te kunnen aantonen, door middel van actue-le documentatie en administratie, dat er inzicht is in de gegevensverwerkingen en privacy risico’s en dat er aan de wetgeving wordt voldaan.

4

HR (Personeelszaken) Het voorkomen van datalekken voorkomt veel problemen en hoge boetes. Veilig gedrag van me-dewerkers met ICT-middelen en bedrijfsinformatie maakt een organisatie weerbaar en verlaagt het aantal security incidenten en datalekken. Security- en Privacy Awareness zijn belangrijke as-pecten bij de dagelijkse werkzaamheden van alle medewerkers. Reputatie (Marketing/Communicatie, Directie) Voorkom dat u negatief in de publiciteit komt. Wat doet u bij een datalek? Het is aan te raden een communicatie-actieplan klaar te hebben voor het geval er een datalek optreedt waarover zaken in het nieuws kunnen komen. Wat en hoe gaat u “naar buiten toe” communiceren? Technische security maatregelen. (ICT, security) De kans op datalekken kan gereduceerd worden als de juiste maatregelen worden genomen op drie belangrijke pijlers: Mens, Organisatie en Techniek. Welke maatregelen dat zijn kunt u het beste bepalen na een degelijk onderzoek aar de risico’s. Wat de techniek betreft is het van belang om het netwerk met grote regelmaat of continu te scannen op vulnerabilities, malware en de configuratie-settings. Hiervoor zijn bekende en geavan-ceerde tools beschikbaar zoals Nessus en SecurityCenter. Zoals u hierboven kunt lezen is deze ontwikkeling in de privacywetgeving niet iets wat "typisch ICT" is. Het raakt (en vereist actie!) vanuit de directie, de juridische afdeling, HR en Marketing!

RI&E Security en RI&E Privacy De RI&E (Risk Inventarisatie & Evaluatie) is voor elk bedrijf een bekend begrip vanuit de ARBO wet. Om de status van uw ICT-veiligheid en uw waarborg voor privacybescherming in kaart te brengen biedt Sebyde de RI&E Security en de RI&E Privacy aan. Dit zijn scherpe nulmetingen die u veel geld kunnen besparen. Bij een RI&E worden de meest belangrijke aandachtsgebieden van uw informatiebeveiliging en gegevensverwerkingen onder de loep genomen. Pas als u weet wat de risico’s zijn kunt u de juiste maatregelen nemen. U wilt niet onnodig veel beveiligen maar wel uw risico’s beperken en niet in discussie komen met de toezichthouder. Zekerheid van minimale tijdsinvestering voor u en gede-gen begeleiding door experts. RI&E Security: U voorkomt hiermee grote digitale schade! Met de RI&E Security van Sebyde brengt u feilloos alle risico’s van uw digitale werkvloer in kaart en krijgt u een betrouwbaar beeld over de situatie met betrekking tot uw informatiebeveiliging. Vraag de RI&E Security Checklist aan via www.sebyde.nl/rie-security RI&E Privacy: Weet waar u staat met betrekking tot compliance aan de privacywetgeving! Na de RI&E Privacy beschikt u over belangrijke informatie over uw gegevensverwerkingen. U krijgt een betrouwbaar beeld over de situatie met betrekking tot de privacy risico’s van uw gegevens-verwerkingen. Vraag de RI&E Privacy Checklist aan via www.sebyde.nl/rie-privacy

5

Workshop “Privacy en de Meldplicht voor datalekken” Vanuit onze Sebyde Academy bieden we een zeer goed gewaardeerde workshop aan over de gevolgen van de nieuwe Wbp en de meldplicht datalekken. Deze workshop van 1 dag is bedoeld voor iedereen die binnen een organisatie betrokken of verantwoordelijk is voor het waarborgen van de veiligheid en de privacy van gegevens. Deze mensen dienen op de hoogte te zijn van de privacywetgeving en de gevolgen van meldplicht datalekken. Dit kan bijvoorbeeld directie zijn, financieel managers, personeelszaken, juridische medewerkers, ICT mensen. Tijdens deze workshop behandelt onze FG (Functionaris Gegevensbescherming) de veranderingen in de WBP en hij legt uit wat de gevolgen zijn van de meldplicht datalekken. Tevens wordt aan-dacht besteed aan de maatregelen die je kunt nemen om je voor te bereiden op de nieuwe wet-geving. Wat moet je doen en welke informatie moet je beschikbaar hebben voor de autoriteit in het geval van een incident. Deze workshop heeft momenteel veel belangstelling gezien de ontwikkelingen in de wetgeving.

Contact gegevens Sebyde BV en Sebyde Academy

Sebyde BV

Telefoon: 085 - 2733376

Email: info@sebyde.nl

Website Sebyde BV: www.sebyde.nl

Website Sebyde Academy: www.sebydeacademy.nl

LinkedIn: www.linkedin.com/company/sebyde-bv

Twitter: www.twitter.com/SebydeBV

Facebook: www.facebook.com/sebydeBV