Nieuwe Privacywetgeving.

Wat betekent dit voor u?

2

Inleiding Er zijn belangrijke ontwikkelingen in de privacywetgeving. Dit heeft consequenties voor het be-

drijfsleven.

Ter vervanging van de 27 verschillende privacywetgevingen die binnen de Europese lidstaten wor-

den gebruikt is er per April 2016 een nieuwe Europese Privacywetgeving ingegaan (GDPR of AVG)

die voor alle Europese lidstaten exact hetzelfde is. Deze wetgeving stelt zware eisen aan de be-

scherming en het waarborgen van de privacy van persoonsgegevens. Bedrijven krijgen 2 jaar de

tijd om zich op deze wetgeving voor te bereiden. Er moeten een aantal zaken worden geregeld.

In Mei 2018 zal gestart worden met de handhaving van deze nieuwe Europese wetgeving.

Wbp: Nederlandse wetgeving is al in Januari 2016 aangepast! Vooruitlopend op bovengenoemde nieuwe Europese wetgeving zijn er in Nederland al in Januari 2016 een aantal belangrijke wijzigingen doorgevoerd in de Wbp. Ze hebben een aantal elementen van de nieuwe Europese wetgeving alvast in de Nederlandse wet ingebracht. De veranderingen die in de wetgeving zijn aangebracht:

Meldplicht voor datalekken

Vergroting van de boetebevoegdheid van de toezichthouder

Verandering van de naam van de toezichthouder

Verplichting om aantoonbaar inzicht te hebben in de gegevensverwerkingen en privacy risico’s. (privacy administratie)

Meldplicht voor datalekken Ernstige incidenten waarbij persoonsgegevens toegankelijk worden voor onbevoegden moeten in de nieuwe wetgeving “onverwijld” (= binnen 72 uur!) worden gemeld aan de toezichthouder. Een datalek kan onder andere ontstaan door een hackersaanval, een verloren USB-stick, Laptop, tablet of smartphone, een fysieke inbraak, een verkeerd gestuurde email, etc. De melding aan de toe-zichthouder bevat een grote hoeveelheid gedetailleerde informatie zoals de aard van het datalek, hoe het is ontstaan, welke maatregelen er genomen worden, hoeveel betrokkenen, en in hoever-re er kans is op privacy schending van de betrokkenen. Indien er sprake is van privacy schending voor de betrokkenen zal er ook een melding plaats moeten vinden aan alle betrokkenen. Vergroting van de boetebevoegdheid van de toezichthouder In de nieuwe wetgeving kan de toezichthouder een bestuurlijke boete opleggen van ten hoogste de 6de categorie van Artikel 23, vierde lid Wetboek van Strafrecht. Dit zijn boetes van materieel belang. Deze boetes zullen niet direct uitgedeeld worden. De toezichthouder zal eerst een dwin-gend advies afgeven, tenzij er sprake is van verwijtbaar gedrag. Verandering van de naam van de toezichthouder Sinds 1 januari 2016 heeft de toezichthouder een nieuwe naam gekregen. De naam is veranderd van “College Bescherming Persoonsgegevens” (CBP) naar “Autoriteit Persoonsgegevens” (AP). Aantoonbaar inzicht Bedrijven dienen aantoonbaar inzicht te hebben in hun gegevensverwerkingen en deze informatie beschikbaar te hebben middels een actueel bijgehouden privacy-administratie.

3

Ook voor u? Persoonsgegevens zijn gegevens die direct of indirect te herleiden zijn naar individuele personen. Alles wat u met deze gegevens kunt doen (verzin maar een werkwoord) valt onder de verwerking van persoonsgegevens. (Voorbeelden: opslaan, inzien, muteren, deleten, verspreiden, printen, kopiëren, back-uppen, etc. etc.) Elk bedrijf verwerkt gegevens die te herleiden zijn naar personen. Denk maar eens aan het klan-ten- of relatie-bestand en het eigen personeelsbestand. Ook worden er door bedrijven vaak per-soonsgegevens verwerkt die van andere organisaties afkomstig zijn. In al deze gevallen moet je voldoen aan de Wbp. Dit betekent dat u moet voldoen aan de Wbp. Ook als u uw gegevens laat verwerken door een andere partij (bewerker) zoals een salarisverwer-ker of een clouddienst. U bent en blijft verantwoordelijk voor de verwerkingen van “uw” per-soonsgegevens en u wordt aansprakelijk gesteld als er met “uw” gegevens een datalek ontstaat. Bewerkersovereenkomsten zijn (al sinds 2001) wettelijk verplicht en moeten nu informatie bevat-ten over hoe beide partijen omgaan met de nieuwe wetgeving. Zo zal er iets moeten instaan over de aansprakelijkheid in geval van boetes en het niveau van de securitymaatregelen die de bewer-ker heeft getroffen om “uw” persoonsgegevens te beschermen. Laat ook uw bewerkersovereen-komsten dus goed controleren en waar nodig aanpassen!

Wie pakt dit binnen uw organisatie op? De gevolgen van deze wetgeving reiken veel verder dan alleen uw IT- of security-afdeling. Het is van belang dat bedrijven zich dit realiseren. De gevolgen van deze wijziging in de wetgeving moe-ten eerder gezocht worden bij het Algemeen management / Juridische afdeling, de HR afdeling, de Financiële afdeling en Marketing & Communicatie. Hieronder een korte toelichting: Jaarstukken (Accountancy, financieel management) Indien een organisatie onvoldoende voorzorgen heeft genomen met betrekking tot de nieuwe wetgeving is er een risico door de Autoriteit Persoonsgegevens beboet te worden. Deze boetes zijn van materieel belang. Hierdoor zou er een discussie kunnen ontstaan met uw accountant in verband met de goedkeuring van de jaarstukken. Bij onacceptabele hoge risico’s kan een accoun-tant de jaarrekening niet goedkeuren. Aansprakelijkheid (Juridische zaken) Bij onvoldoende maatregelen of voorzieningen voor privacybescherming loopt een organisatie grote kans dat klanten of ketenpartners een organisatie aansprakelijk stellen voor geleden schade, gemaakte kosten of opgelegde boetes. Het laten controleren en aanpassen van de bewerkers-overeenkomsten met uw hosting partijen en/of clouddienst providers (salarisverwerker, online boekhouding, data-opslag, etc.) is daarom noodzakelijk. Compliance (Raad van Bestuur, directie) Documentatie met betrekking tot de compliance aan de nieuwe wetgeving dient aantoonbaar te zijn en altijd beschikbaar. Het is van belang om altijd te kunnen aantonen, door middel van actue-le documentatie en administratie, dat er inzicht is in de gegevensverwerkingen en privacy risico’s en dat er aan de wetgeving wordt voldaan.

4

HR (Personeelszaken) Het voorkomen van datalekken voorkomt veel problemen en hoge boetes. Veilig gedrag van me-dewerkers met ICT-middelen en bedrijfsinformatie maakt een organisatie weerbaar en verlaagt het aantal security incidenten en datalekken. Security- en Privacy Awareness zijn belangrijke as-pecten bij de dagelijkse werkzaamheden van alle medewerkers. Reputatie (Marketing/Communicatie, Directie) Voorkom dat u negatief in de publiciteit komt. De Autoriteit Persoonsgegevens publiceert op hun website (www.autoriteitpersoonsgegevens.nl) over hun activiteiten. Berispte bedrijhven worden met naam genoemd. Wat doet u bij een datalek? Het is aan te raden een communicatie-actieplan klaar te hebben voor het geval er een datalek optreedt waarover zaken in het nieuws kunnen komen. Wat en hoe gaat u “naar buiten toe” communiceren? Technische securitymaatregelen. (ICT, security) De kans op datalekken kan gereduceerd worden als de juiste maatregelen worden genomen op drie belangrijke pijlers: Mens, Organisatie en Techniek. Welke maatregelen dat zijn kunt u het beste bepalen na een degelijk onderzoek naar de risico’s. Wat de techniek betreft is het van belang om het netwerk met grote regelmaat of continu te scannen op vulnerabilities, malware en de configuratie-settings. Hiervoor zijn bekende en geavan-ceerde tools beschikbaar zoals Nessus en SecurityCenter. Zoals u hierboven kunt lezen is deze ontwikkeling in de privacywetgeving niet iets wat "typisch ICT" is. Het raakt (en vereist actie!) vanuit de directie, de juridische afdeling, HR en Marketing!

RI&E Security en RI&E Privacy Bij een RI&E worden de meest belangrijke aandachtsgebieden van uw informatiebeveiliging en gegevensverwerkingen onder de loep genomen. Pas als u weet wat de risico’s zijn kunt u de juiste maatregelen nemen. U wilt niet onnodig veel beveiligen maar wel uw risico’s beperken en niet in discussie komen met de toezichthouder. Zekerheid van minimale tijdsinvestering voor u en gede-gen begeleiding door experts. RI&E Privacy: Weet waar u staat met betrekking tot compliance aan de privacywetgeving! Na de RI&E Privacy beschikt u over belangrijke informatie over uw gegevensverwerkingen. U krijgt een betrouwbaar beeld over de situatie met betrekking tot de privacy risico’s van uw gegevens-verwerkingen. Vraag de RI&E Privacy Checklist aan via www.sebyde.nl/rie-privacy RI&E Security: U voorkomt hiermee grote digitale schade! Met de RI&E Security van Sebyde brengt u feilloos alle risico’s van uw digitale werkvloer in kaart en krijgt u een betrouwbaar beeld over de situatie met betrekking tot uw informatiebeveiliging. Vraag de RI&E Security Checklist aan via www.sebyde.nl/rie-security

5

Workshop “Privacy en de Meldplicht voor datalekken” Vanuit onze Sebyde Academy bieden we een zeer goed gewaardeerde workshop aan over de gevolgen van de nieuwe Wbp en de meldplicht datalekken. Deze workshop van 1 dag is bedoeld voor iedereen die binnen een organisatie betrokken of verantwoordelijk is voor het waarborgen van de veiligheid en de privacy van gegevens. Deze mensen dienen op de hoogte te zijn van de privacywetgeving en de gevolgen van meldplicht datalekken. Dit kan bijvoorbeeld directie zijn, financieel managers, personeelszaken, juridische medewerkers, ICT mensen. Tijdens deze workshop behandelt onze FG (Functionaris Gegevensbescherming) de veranderingen in de Wbp en hij legt uit wat de gevolgen zijn van de meldplicht datalekken. Tevens wordt aan-dacht besteed aan de maatregelen die je kunt nemen om je voor te bereiden op de nieuwe wet-geving. Wat moet je doen en welke informatie moet je beschikbaar hebben voor de autoriteit in het geval van een incident.

Contact gegevens Sebyde BV en Sebyde Academy

Sebyde BV

Telefoon: 085 - 2733376

Email: info@sebyde.nl

Website Sebyde BV: www.sebyde.nl

Website Sebyde Academy: www.sebydeacademy.nl

LinkedIn: www.linkedin.com/company/sebyde-bv

Twitter: www.twitter.com/SebydeBV

Facebook: www.facebook.com/sebydeBV