Per 1 januari 2016 gaat nieuwe wetgeving in waarin publieke en private organisaties verplicht worden inbreuk op hun informatiesystemen te melden bij het CBP. Het CBP heeft op haar beurt een uitbreiding van de boetebevoegdheid gekregen om als blijkt dat een organisatie tekort schiet in de bescherming van persoonsgegevens een boete uit te delen. Wat betekent dit nu in de praktijk?
Boetes door het CBP
Alle bedrijven, private en publieke instellingen zijn verplicht om bij het CBP te melden als er persoonsgegevens worden bewaard en verwerkt. In extreme gevallen kon het CBP dan ook al een boete uitdelen als er niet werd voldaan aan de meldplicht. Deze zogenaamde boetebevoegdheid wordt dus uitgebreid per 1 januari 2016, waarbij op de site van de rijksoverheid de volgende passage te lezen is:
Verder kan het College bescherming persoonsgegevens (Cbp) in meer gevallen een bestuurlijke boete opleggen aan overtreders van privacyregels. Het Cbp mag nu alleen een bestuurlijke boete opleggen bij een overtreding van een administratief voorschrift, bijvoorbeeld de verplichting om de verwerking van persoonsgegevens te melden. Vanaf 1 januari 2016 is dat ook mogelijk bij schending van meer algemene verplichtingen die de wet stelt aan gebruik en verwerking van persoonsgegevens. Bijvoorbeeld als persoonsgegevens niet op een behoorlijke en zorgvuldige manier zijn verwerkt of langer worden bewaard dan noodzakelijk is, maar ook als de beveiliging niet deugt, het beheer van persoonsgegevens slecht is georganiseerd of gevoelige informatie over burgers zoals hun politieke voorkeur of levensovertuiging is misbruikt.
Nu ook meldplicht bij datalekken
Een op zich logische vervolgstap is dat naast het initieel melden van opslag van persoonsgegevens bij het CBP er nu ook melding van gemaakt moet worden als er inbreuk is geweest op deze informatie. Op deze manier kan het CBP beter toezicht houden op zowel de opslag en verwerking, als de feitelijke bescherming van deze gegevens. Het CBP staat immers voor College bescherming persoonsgegevens, waarbij de bescherming wellicht nog niet ten volle werd gedaan.
Wat betekent dit in de praktijk?
Om te beginnen is het uiteraard altijd belangrijk geweest om persoonsgegevens te beschermen. De misbruikcijfers zijn al gigantisch – miljoenen Nederlanders worden jaarlijks al slachtoffer van cybercriminaliteit en identiteitsdiefstal is daar een groot onderdeel van. In de praktijk betekent het dus in principe niet zoveel als alles al dik voor elkaar is. Na jaren in de financiële sector te hebben gewerkt weet ik dat er ook andere instanties zijn die al toezicht houden op de bescherming van informatie en gelukkig zijn er talloze bedrijven die dit uitermate serieus nemen. Toch kan het geen kwaad nog even een checklist op te stellen of alles wel op orde is.
Clouddiensten en verantwoordelijkheid?
Een interessant vraagstuk is uiteraard in hoeverre je zelf aansprakelijk en verantwoordelijk bent voor data die is ondergebracht bij een cloudleverancier, oftewel geheel of gedeeltelijk in beheer is bij een derde partij. Afhankelijk van wat daarover is afgesproken ‘koop’ je als klant van een clouddienst een stuk zekerheid en mogelijk zit daar de informatie beveiliging bij in. Toch ontslaat het je als klant van een clouddienst niet volledig van elke verantwoording – immers, je hebt altijd een plicht om jezelf er van te overtuigen dat je leverancier dit goed geregeld heeft.
Concluderend?
Grijp dit moment aan om bij de eigen IT afdeling en leveranciers de vraag uit te zetten ‘hoe is het eigenlijk geregeld en voldoen wij aan de norm?’. Elke keer dat persoonsgegevens niet op straat komen te liggen is een winst voor het bedrijf in kwestie, het imago en bovenal de klanten die het (niet) treft.
Eén reactie op “Meldplicht datalekken en uitbreiding boetes door CBP”