Reputatieschade en boetes

Er is in toenemende mate aandacht voor de bescherming van persoonsgegevens, de reputatieschade kan dan ook groot zijn als u de persoonsgegevens van uw klanten niet serieus neemt. De voorbeelden hiervan treft u regelmatig aan in het nieuws.

In Nederland is de bescherming van persoonsgegevens geregeld in de wet bescherming persoonsgegevens (Wbp). Op Europees niveau is op dit moment sprake van een richtlijn met betrekking tot privacyrecht die door de individuele lidstaten is omgezet in nationale wetgeving. Hierdoor is de wetgeving niet in alle lidstaten gelijk. Er wordt gewerkt aan een nieuwe Europese privacy verordening die de verschillen tussen de lidstaten wegneemt. Een van de gevolgen van die toekomstige verordening is dat de toezichthouders fors hogere boetes op kunnen leggen. Deze boetes kunnen oplopen tot €20.000.000 of 4% van de wereldwijde omzet van een bedrijf dat de toekomstige Europese privacy verordening niet naleeft.

 

Meldplicht datalekken

Met ingang van 1 januari 2016 is de Wbp uitgebreid met een meldplicht van datalekken. Alle organisaties moeten diefstal, verlies of misbruik van persoonsgegevens onder bepaalde voorwaarden gaan melden. Deze melding dient niet alleen aan toezichthouder Autoritiet Persoonsgegevens gedaan te worden, maar afhankelijk van de ernst van het geval ook aan de betrokkenen waarvan de persoonsgegevens zijn gelekt. Indien de gelekte gegevens voldoende versleuteld zijn is de organisatie vrijgesteld van de meldplicht aan betrokkenen. De wet moet een betere bescherming van persoonsgegevens stimuleren. Bedrijven en overheden die de nieuwe verplichting niet nakomen, kunnen van de Autoritiet Persoonsgegevens (AP) een boete tot maximaal 820 duizend euro krijgen.

 

Verplichte maatregelen

Artikel 13 van de Wet bescherming persoonsgegevens (Wbp) verplicht organisaties om passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrecht­matige verwerking. De maatregelen dienen er mede op gericht te zijn onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
Wat een passend beveiligingsniveau is, is afhankelijk van de stand van de techniek, het soort persoonsgegevens, de soort verwerking, de kosten van de tenuitvoerlegging voor de verantwoordelijke en de te verwachten risico’s voor betrokkenen. De wetgever heeft nadrukkelijk een open norm gehanteerd, zonder nadere details over de soorten beveiliging. Dergelijke details zouden sterk tijdgebonden zijn en daarmee afbreuk doen aan het nagestreefde niveau van beveiliging.

 

Beveiligingsnorm

Om te voldoen aan de beveiligingsnorm van artikel 13 Wbp dienen organisaties zich, gegeven de huidige stand van de techniek en de normontwikkeling in eerdere uitspraken van het College Bescherming Persoonsgegevens, bij pu­blicaties op internet te houden aan de volgende vijf verplichtingen:

  • Voorkom de onnodige publicatie van persoonsgegevens.
  • Scherm specifieke pagina’s met persoonsgegevens af voor zoekmachines.
  • Gebruik wachtwoorden of een andere passende methode om de doelgroep af te bakenen.
  • Beveilig het gegevenstransport door middel van het SSL­ protocol.
  • Beveilig machine(s) en achterliggende databases tegen onbevoegde toegang door derden.

 

In de volgende richsnoeren van het College Bescherming Persoonsgegevens wordt duidelijk beschreven waarom het gebruik van encryptie verplicht is bij het verzenden van persoonsgegevens over het internet.

 

Privyon

Bescherming van persoonsgegevens is geen eenmalige juridische exercitie, maar een continu proces dat onderdeel dient te vormen van de normale bedrijfsvoering. Privacy is een onderwerp waarmee rekening gehouden dient te worden vanaf het eerste ontwerp van een persoonsgegevensverwerkendsysteem tot aan de uiteindelijke vernietiging van de verwerkte persoonsgegevens. Van de wieg tot het graf. Privyon kan u helpen bij het borgen van privacy compliance in uw organisatie, nu en in de toekomst.