Vernieuwde privacywet kan organisaties tonnen kosten

Door Herman Braam, 6 september 2013.

De komende jaren breidt de privacywetgeving behoorlijk uit. Het toezicht wordt scherper. Boetes kunnen oplopen tot bijna een half miljoen euro per overtreding. Veel organisaties hebben de bescherming van hun persoonsgegevens nog niet op orde, blijkt uit een steekproef.

Recent heb ik onderzocht in hoeverre organisaties met hun websites voldoen aan de privacy wetgeving. Met behulp van steekproeven zijn de websites van accountants- en advocatenkantoren tegen het licht gehouden. In het merendeel van de gevallen voldoen de sites op dit moment nog niet aan voorwaarden die de wet bescherming persoonsgegeven stelt. De NBA (Nederlandse Beroepsorganisatie van Accountants) heeft mij gevraagd dit in een interview toe te lichten. Dit heeft het volgende artikel in "de Accountant" (het vakblad van de NBA) opgeleverd:

 

Artikel in de Accountant.nl

 

De komende jaren breidt de privacywetgeving behoorlijk uit. Het toezicht wordt scherper. Boetes kunnen oplopen tot bijna een half miljoen euro per overtreding. Net als veel bedrijven hebben ook accountantskantoren de bescherming van hun persoonsgegevens nog niet op orde, blijkt uit een steekproef.

"Het huidige klimaat van vrijblijvendheid dat nu nog de privacywetgeving omgeeft, zal in de toekomst behoorlijk veranderen", aldus Herman Braam, privacyspecialist van het bureau Privyon en voormalig medewerker van Deloitte.

"De bevoegdheden van het College Bescherming Persoonsgegevens worden veel groter", zegt Braam. "Het imago van deze instantie zal daardoor flink veranderen. Die kun je straks vergelijken met die van de Opta, de telecomwaakhond die de afgelopen jaren flinke boetes oplegde aan telecombedrijven die zich niet aan de regels hielden."

De maximale boetes kunnen straks oplopen tot 450.000 euro per overtreding. Dat is honderd keer zo veel als de hoogste boete die nu kan worden opgelegd. Als de Europese regels zijn ingevoerd worden zelfs boetes mogelijk ter waarde van twee procent van de bedrijfsomzet.

Braam baseert zijn verwachtingen op de vernieuwing van de wetgeving over privacy, die uitgebreid gaat worden met de meldplicht datalekken. In juni heeft staatssecretaris Teeven van Veiligheid en Justitie daartoe een wetsvoorstel ingediend bij de Tweede Kamer.

Het wetsvoorstel sluit aan bij een Europese verordening voor bescherming van persoonsgegevens die in de maak is. De door Europa opgelegde regelgeving komt op zijn vroegst in 2014, hoewel een jaar later ook mogelijk is. Toch twijfelt niemand eraan dat de regelgeving wordt ingevoerd in Nederland. De huidige wetswijziging speelt al in op de nieuwe Europese bepalingen.

"Als je persoonsgegevens verzamelt, moet je als organisatie passende maatregelen nemen om die te beschermen. Een van de maatregelen is encryptie, het versleutelen van de informatie. Het transport van de persoonsgegevens moet plaatsvinden via een beveiligde verbinding."

"Dan is er nog de informatieplicht richting de mensen van wie je persoonsgegevens vastlegt. Je bent bijvoorbeeld verplicht om te vertellen welke informatie je vastlegt, hoe lang je dat doet en met wie je de data deelt."

"Die plichten zijn nu ook al vastgelegd in de Wet bescherming persoonsgegevens. Maar na de wetswijziging zal er naar verwachting scherper op worden toegezien. Er kunnen ook zwaardere sancties worden opgelegd voor overtredingen."

"Daarnaast komt er een verplichting om datalekken te melden als die nadelig kunnen zijn voor de bescherming van persoonsgegevens. Die verplichting is nieuw."

Braam denkt dat accountantskantoren nog niet klaar zijn voor deze strengere regels. Bij een steekproef onder twintig accountantskantoren merkte hij dat meer dan negentig procent niet voldeed aan de eisen.

"Dan gaat het over beveiliging van websites en de informatieplicht over persoonsgegevens die via websites worden verzameld, daar heb ik naar gekeken. Denk aan persoonsgegevens die je online verzamelt voor het versturen van nieuwsbrieven, het opsturen van informatie, het vastleggen van contactgegevens of het invullen van online sollicitatieformulieren."

"In verreweg de meeste gevallen viel niet te zien dat de kantoren voorzieningen hadden getroffen om mensen te informeren over wat er met hun persoonsgegevens gebeurt. Je hoeft niet iedereen bericht te sturen, je kunt volstaan met een privacyverklaring op je website."

"Die moet wel zodanig zijn dat die gemakkelijk te vinden en te begrijpen is. Ik kwam bijvoorbeeld een privacyverklaring tegen die in het Engels was opgesteld. Die is niet toegankelijk genoeg."

Ook de beveiliging van persoonsgegevens is nog ondermaats bij accountantskantoren, aldus Braam. Beveiligd transport van de informatie is te herkennen aan een groen slotje op het scherm. "Als dat er niet is, voldoe je niet aan de regels", constateert Braam.

Ondanks de potentiële dreiging van boetes zijn ingrijpende maatregelen niet nodig om aan de regels te voldoen, aldus Braam. "In veel gevallen zijn zware veranderingen in de systemen niet nodig. Voor een paar honderd euro per jaar kun je persoonsgegevens al beveiligen. De wet spreekt over passende beveiliging, niet over complete beveiliging."

 

 

Over de auteur: Herman Braam is oprichter en eigenaar van Privyon- online privacy diensten.

Specialist in vraagstukken op het snijvlak van IT en privacy. Helpt organisaties te voldoen aan de wet bescherming persoonsgegevens.
Contact via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken. of LinkedIn.