Dataprivacy; nieuwe wetten, nieuw strategisch risico

Met ingang van 2016 is de Wet Meldplicht Datalekken (WMD) een onderdeel geworden van de Wet Bescherming Persoonsgegevens (WBP). De Autoriteit Persoonsgegevens, voorheen het College Bescherming Persoonsgegeven, ziet daarmee haar bevoegdheden toenemen, omdat zij aanzienlijk zwaardere boetes kan opleggen dan voorheen. Maar ook kan zij eisen dat bij een datalek activiteiten stilgelegd worden. Iets dat veel meer impact heeft op een organisatie dan de eventuele boete. Om nog maar te zwijgen over de reputatieschade en aantasting van het vertrouwen.

door Louis de Koning,Anil Changoe en Dorus-Jan ten Boom Met het in het leven roepen van een Autoriteit Persoonsgegevens wordt voorgesorteerd op de nieuwe Europese Privacy Verordening (EPV). Deze zal naar verwachting in 2017 of 2018 voor alle lidstaten integraal van kracht worden. Dit in tegenstelling tot de EU-richtlijnen uit het verleden, die door de lidstaten in hun eigen nationale wetgeving dienden te worden verwerkt. Met de EPV komt dan ook onmiddellijk een einde aan de verschillen in wet- en regelgeving op het gebied van privacy binnen de EU.Eigenlijk is dit logisch, omdat uitwisseling van persoonsgegevens steeds vaker grensoverschrijdend is, binnen Europa en ook daarbuiten. Dit vaak zonder dat we ons dat realiseren, maar wel met alle gevolgen en risico’s van dien. Spam en ongevraagde aanbiedingen zijn wellicht het meest zichtbaar, maar identiteitsfraude (inclusief skimming en phishing) is een zeer ingrijpende en steeds vaker voorkomende inbreuk op privacy. Alleen al in Nederland is het aantal gemelde gevallen van identiteitsfraude al meer dan 600.000 per jaar. De EPV zal gebaseerd zijn op het meest strenge regime binnen Europa. Juist daar zit de uitdaging bij de implementatie in de meeste lidstaten, waaronder Nederland. Er zijn namelijk grote verschillen in privacy beleving bij de inwoners in de lidstaten. Met het gelijktrekken van de wet- en regelgeving, zal vooral ook moeten worden gewerkt aan de bewustwording bij de inwoners en dus ook uw medewerkers.Onder de huidige Nederlandse privacywetgeving, met de verzwaarde sancties uit de WMD en de te verwachten EPV, moeten organisaties de volgende zaken op orde brengen:• helder geformuleerde privacyreglementen, waarin onder andere wordt aangegeven en onderbouwd         met welk doel persoonsgegevens worden opgeslagen (doelbinding);• aanmelding van de registraties van persoonsgegeven en reglementen bij de Autoriteit                         Persoonsgegevens; • inzicht in waar en hoe persoonsgegevens zijn opgeslagen (databases en applicaties);• inbedding van privacy in de governance van de organisatie, onder andere door het afsluiten van           bewerkersovereenkomsten met ketenpartners en het invullen van de functie van Privacy Officer;• beveiligingsmaatregelen, zowel technisch als organisatorisch en procedureel, waaronder het                 identificeren en opvolgen van potentiële datalekken als gevolg van verlies of diefstal van smart           phones, tablets of laptops.De noodzakelijke beveiliging beperkt zich dus niet alleen tot de ICT-maatregelen, maar betreft ook de inrichting van operationele processen en het invullen van de Privacy Officer functie (in het Nederlands ook wel Functionaris Gegevensbescherming of FG genoemd). BewustwordingNaast het op orde brengen van governance, processen, organisatie en systemen, pleiten wij voor een uitgebreid en continu bewustwordingsprogramma binnen organisaties. Veelal blijkt immers niet de techniek, maar de mens toch de zwakste schakel. De formele aspecten zijn de randvoorwaarden waar altijd aan voldaan moet worden; de bewustwording bij medewerkers zal de werkelijke uitdaging zijn. Zeker in ons land waar we op het vlak van privacy vaak wat laconiek zijn, onder het motto “ik heb toch niets te verbergen”.Het gevaar daarvan is dat men zich soms niet voldoende bewust is van het risico van commerciële uitbuiting, fraude met, of op basis van persoonsgegevens en mogelijk zelfs identiteitsdiefstal. In de steeds verder geautomatiseerde wereld neemt dit inmiddels grote vormen aan en het is niet iets wat alleen nog maar in films voorkomt. Films spreken wellicht tot de verbeelding, maar kunnen een opmaat zijn naar de toekomst, waarvoor we ook gewaarschuwd moeten zijn. Er is echter ook goed nieuws: we kunnen nu nog bijsturen. Om te beginnen met striktere privacy wet- en regelgeving en het efficiënt herinrichten van onze organisaties daarop. En tegelijkertijd ‘met harde hand de zachte kant’ op te pakken.Louis de Koning RA RE, is als associate partner verbonden aan ConQuaestor en houdt zich vanuit zijn EDP audit achtergrond al vele jaren bezig met privacy, zowel vanuit risk management als systeem implementatie opdrachten.Anil Changoe RE CISA is managing consultant bij ConQuaestor. Hij houdt zich bezig met Finance/IT-vraagstukken op de gebieden Audit, Risk & Compliance, waaronder het implementeren van Privacy Control Frameworks en het onderzoeken van informatiebeveiliging en privacybescherming.Mr. Dorus-Jan ten Boom FRM is managementconsultant risk en compliance bij ConQuaestor en is gespecialiseerd in projecten waarbij legal, business en ICT-aspecten bij elkaar komen, waaronder de implementatie van de Wbp.  

_________________________________________________________________________________________

Loop geen risico met datalekken

Weet u wat een datalek is en hoe u dit kunt voorkomen? Kent u de nieuwe eisen en toepassing van de Wet bescherming persoonsgevens (Wbp)? Per 1 januari 2016 zijn organisaties verplicht om datalekken te melden. Voorkom risico’s en hoge boetes. Meld u hier aan.

_________________________________________________________________________________________