Blog // Data privacy

In 2016 is de meldplicht “Rijksoverheid meldpunt datalekken en uitbreiding boetebevoegdheid Cbp” in werking getreden. Natuurlijk voldoet uw organisatie hier na 5 jaar aan. Toch komen wij in de praktijk nog genoeg voorbeelden tegen waarbij wij ons afvragen of organisaties het nu echt wel hebben geregeld

Neem het voorbeeld dat de salarisronde verwerkt wordt in Excel. Het Excel bestand wordt gestuurd naar de leidinggevende voor input en alles wordt vervolgens geconsolideerd bij één persoon. Tot op heden klinkt het logisch. Echter, geen wachtwoord op het document zelf of in een andere situatie stond het wachtwoord in dezelfde mail als begeleidend schrijven. Per ongeluk één verkeerd geadresseerde in de email en de informatie ligt mogelijk op straat. Niet alleen erg onhandig vanuit een concurrentiepositie, maar het gaat hier om gevoelige persoonsgegevens. De grotere organisaties hebben dit veelal systeemtechnisch opgelost en werken niet meer met Excel in dit soort situaties. Op basis van onze praktijkervaring lijkt het ons goed om hieronder een en ander nog even kort op een rij te zetten zodat u zich daarop kan gaan organiseren.

Wet bescherming persoonsgegevens
De bedoeling van de aanpassing van de wet bescherming persoonsgegevens, was om deze persoonsgegevens nog beter te beschermen. Organisaties zijn verplicht melding te maken van beveiligingsincidenten met betrekking tot persoonsgegevens. In bepaalde gevallen is ook een melding verplicht aan personen van wie de gegevens zijn. De toezichthouder heeft nu meer (lees hogere) boetemogelijkheden als blijkt dat de beveiliging niet deugt of als persoonsgegevens onnodig lang worden opgeslagen. Het gaat om een bestuurlijke boete van maximaal Eur 810.000,- bij handelen in strijd met de Wet Bescherming Persoonsgegevens.

Passende organisatorische en technische maatregelen
Eén van de wettelijke verplichtingen is dat u passende organisatorische en technische maatregelen treft om de persoonsgegevens die u verwerkt te beschermen. De autoriteit Persoonsgegevens heeft middels beleidsregels invulling gegeven aan de elementen waar uw informatiebeveiliging aan moet voldoen. Dit beperkt uitsluitend de kans op boetes en reputatieschade. Het toepassen van deze beleidsregels is niet verplicht en nog sterker het geeft ook geen garanties. Elke melding wordt apart behandeld en wordt beoordeeld of de beveiliging “passend” was.

U wilt niet alleen voldoen aan de wet- en regelgeving, maar u wilt toch ook vanuit uw verantwoordelijkheidsgevoel dit onderwerp hoog op uw agenda hebben staan! Wij wensen u veel succes bij het inzichtelijk maken van de risico’s, het opstellen van uw plan van aanpak en de implementatie.

Mijke Vossen
mijke@freelancersunited.nl