De toenemende digitalisering en inzet van nieuwe technologie kondigt een nieuw economisch tijdperk aan. De potentiële mogelijkheden in effectieve en efficiënte bedrijfsprocessen gaan echter gepaard met reële beveiligingsrisico’s. Bij risico’s denkt men al snel aan hackers, phishing of virussen, maar er is sprake van meer dan een software of hardware-probleem. Hoe sterk zijn uw wachtwoorden en wie kan er al dan niet toevallig over beschikken? En werknemers kunnen bewust of onbewust bedrijfsgeheimen aan buitenstaanders prijsgeven. De verloren of achtergelaten memorysticks zijn inmiddels berucht en hebben veel reputatieschade aangericht. Weet u zeker dat onbevoegde personen niet in uw oude en vertrouwde fysieke archief, kasten en bureaus rondneuzen? Uw bedrijfsgegevens vertegenwoordigen op de markt een hoge waarde en verdienen een deugdelijke bewaking.
Gemiddeld zit iemand met zijn gegevens in honderden tot duizenden bestanden, zowel van het bedrijfsleven als van de overheid. Iedereen moet erop kunnen vertrouwen dat zijn persoonsgegevens voldoende worden beveiligd. Slechte beveiliging kan leiden tot datalekken en vervolgens tot misbruik. Bijvoorbeeld identiteitsfraude. Ook de overheid realiseert zich dit en heeft met ingang van 1 januari 2016 de Wet bescherming persoonsgegevens gewijzigd en in het kader van het huidige modebeeld een Autoriteit Persoonsgegevens in het leven geroepen. De nieuwe Autoriteit legt bij privacy schendingen hoge boetes op. U bent dus gewaarschuwd.
De meest besproken wijziging ziet op de invoering van de zogenaamde meldplicht bij datalekken. Ingevolge artikel 34a van de Wet bescherming persoonsgegevens stelt de verantwoordelijke de Autoriteit onverwijld in kennis van een inbreuk op de beveiliging, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Voorts volgt uit lid 2 dat alle betrokkenen ook in kennis gesteld moeten worden indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Melding aan alle
betrokkenen is niet van toepassing indien de
verantwoordelijke passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor een ieder die geen recht heeft op kennisname van de gegevens (bijvoorbeeld door middel van encryptie). De melding aan de toezichthouder omvat een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen. De kennisgeving aan de toezichthouder en de betrokkene omvat in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken.
Indien een datalek niet gemeld wordt of wanneer er sprake is van opzet of grove nalatigheid zal er een boete opgelegd worden. De Autoriteit Persoonsgegevens kan ter zake overtredingen hoge boeten uit gaan delen zoals bij gegevensverwerking zonder legitiem doel, op onzorgvuldige wijze of zonder adequate beveiliging. De boete kan oplopen tot wel
€ 810.000,00 of zelfs 10% van de jaaromzet. De toezichthouder legt geen bestuurlijke boete op dan nadat het een bindende aanwijzing heeft gegeven”. Deze bindende aanwijzing is niet van toepassing
“indien de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid”.
Er zitten veel haken en ogen aan de wetswijziging. Het is onverstandig op het eigen rechtsgevoel te varen. Overleg steeds met uw advocaat. Inventariseer de door u gelopen risico’s met betrekking tot de door u bewerkte persoonsgegevens en ontwikkel geborgde werkwijzen. Bij vragen denk ik graag met u mee.
