Een van de kerstcadeaus van de wetgever is dat het vanaf januari 2016 verplicht wordt om datalekken te melden bij zowel het College bescherming persoonsgegevens (CBP) als de betrokkenen (degenen wier persoonsgegevens zijn gelekt). Dit volgt uit de Wet meldplicht datalekken. Voorbeelden van datalekken: op het trottoir verloren USB-sticks met persoonsgegevens of een kwijtgeraakte laptop met bedrijfsvertrouwelijke gegevens, zoals het recept van Coca-Cola.

De meldplicht geldt voor alle verantwoordelijken die persoonsgegevens verwerken, zowel in de private als publieke sector. De sanctie op niet-naleving van de meldplicht is een maximale boete van 810.000 Euro. Deze boete geldt in beginsel per overtreding. Als de lek niet wordt gemeld aan CBP én ook niet aan de betrokkenen, terwijl dat wel had gemoeten, kan dit dus twee overtredingen opleveren. Daarbij kan nog een boete komen voor slechte beveiliging of tekortkomende administratie.

Kortom: als gevolg van deze wetgeving wordt het voor overheden en bedrijven van nog groter belang – groter dan het al was – om zorgvuldig en correct persoonsgegevens te verwerken.

Concreet actieplan

Om de kans op juridische problemen te verkleinen, adviseer ik in ieder geval het volgende:

1. Beveilig ICT systemen en data zo goed mogelijk. Dit klinkt simpeler dan het is. Hierbij spelen namelijk onder meer de volgende vragen:

  • Zijn de data op alle interne en externe harde schijven versleuteld (encryptie)? Dit is relatief gemakkelijk te doen met software als BitLocker.
  • Is er een persoon aangesteld die is belast met het periodiek uitvoeren van risicoanalyses om kritische of bedrijfsvertrouwelijke data te identificeren en te back-uppen?
  • Zijn er maatregelen getroffen om inbreuken op de beveiliging te monitoren c.q. detecteren? Het liefste gebeurt dit real time.
  • Wordt alle software tijdig en (het liefste) automatisch geüpdatet? Zelfs een ogenschijnlijk eenvoudige webbrowser veroudert snel en moet daarom worden geüpdatet.
  • Worden ICT-systemen en infrastructuur periodiek getest op (on)bekende lekken? Zo zijn Adobe Flash en Internet Explorer vermaard om hun beveiligingslekken. Het is raadzaam om dergelijke software niet te gebruiken of ze in ieder geval consequent te updaten om erger te voorkomen.
  • Is er voldoende bewustzijn binnen de organisatie voor het belang van beveiliging van persoonsgegevens? Ik heb het vermoeden dat dit een ondergeschoven kleinkindje is. Ik ken zelfs personen die privacy recht ‘neprecht’ noemen.
  • Voorgaande is leuk en aardig, maar als de interne regels en afspraken niet worden gevolgd is het privacybeleid per saldo een farce. Controle op naleving is daarom van belang (zie ook hierna).

2. Behalve technische maatregelen, zijn er ook organisatorische en communicatieve maatregelen nodig. Dit betekent dat de hiervoor genoemde maatregelen ook daadwerkelijk genomen moeten worden door voor dit doel een (on)vrijwillige functionaris in het leven te roepen. Ook is het opstellen van een gedetailleerd ‘rampenplan’ voor als het toch mis gaat, niet onverstandig.

3. Er zijn ook juridische maatregelen nodig. Zo was het al lang wettelijk verplicht om overeenkomsten te sluiten met ‘bewerkers’ van persoonsgegevens. Dit wordt nu nog belangrijker. Met andere woorden: voor zover het verwerken van persoonsgegevens wordt uitbesteed door verantwoordelijken aan derden, moet daaraan een bewerkersovereenkomst ten grondslag liggen. Hierin moeten onder meer bepalingen worden opgenomen ten aanzien van beveiliging, geheimhouding, aansprakelijkheid en de locatie van data. Tot slot is mijn advies om – voor zover non-existent – een degelijk privacy statement op te laten stellen en op een duidelijke plaats op de homepage te zetten. Dus niet verbergen achter een tabje, maar direct op de homepage plaatsen, eventueel onderaan. Het beste is als de link ook direct verwijst naar de inhoud van het statement. Als je wilt zien hoe je dit kunt doen, verwijs ik naar frankmelis.nl onderaan de website.

Voorgaande beoogt niet een uitputtende lijst van de te nemen maatregelen te zijn, maar geeft hopelijk wat concrete handvatten om ermee aan de slag te gaan o.d.z. ‘privacy kan best leuk zijn.’

Frank Melis