Op de Nederlandse wegen heb je zo een bekeuring te pakken. Er wordt op steeds meer manieren gecontroleerd en de boetes zijn de laatste jaren flink gestegen. 

40 km te hard op de snelweg (nee, ik ken ook niemand die zoveel te hard rijdt) betekent een boete van € 410,-.  Inhalen bij een inhaalverbod kost € 230,- en zonder gordel rijden kost al snel zo’n € 140,-. Zonde van het geld! Meestal waren ze makkelijk te voorkomen..

Ook op de digitale snelweg gelden al een tijd regels alhoewel veel (of hoge) boetes niet of nauwelijks werden uitgedeeld. Echter sinds 1 januari 2016 geldt de wet Meldplicht Datalekken. De wet loopt vooruit op de Europese Privacy Verordening en is in Nederland een uitbreiding op een reeds bestaande wet: de Wet Bescherming Persoonsgegevens (WBP). De Autoriteit Persoonsgegevens kan boetes opleggen die oplopen tot € 810.000,-.

Wat is een datalek?

Er is sprake van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om digitale bestanden. Echter een gestolen laptop of een geprinte klantenlijst kan ook gezien worden als een datalek.

Wanneer moet een datalek gemeld worden?

Wanneer bij een datalek sprake is van veel gegevens en/ of wanneer er sprake is van gevoelige informatie moet het gemeld worden bij de Autoriteit Persoonsgegevens. Onder gevoelige informatie valt o.a. data over iemands financiële gegevens, medische/psychologische gegevens, wachtwoorden en identiteitsgegevens zoals een burgerservicenummer (BSN).

Wanneer krijgt u een boete?

Als werkgever bent u zelf eindverantwoordelijk om een datalek te melden. Waarschijnlijk zal er eerst een waarschuwing volgen (als er niet met opzet is gehandeld). Echter gaat de wet verder dan alleen het melden van datalekken. Er wordt ook verwacht dat iedere organisatie passende en adequate maatregelen neemt om te voorkomen dat een datalek optreedt. Denk hierbij hierbij aan het adequaat voeren van risicomanagement, het toepassen van beveiligingsmaatregelen etc. Er worden boetes opgelegd wanneer:

  • Een datalek niet gemeld wordt;
  • De beveiliging niet op orde is;
  • Wanneer persoonsgegevens zonder toestemming worden verstrekt.

Wat dient u te doen als werkgever?

Belangrijk is dat er geïnventariseerd wordt welke impact de WBP heeft op uw organisatie. U kunt zelf een inventarisatie doen of u laten adviseren door een externe partij. Daar waar nodig dienen er op basis van deze inventarisatie maatregelen getroffen te worden. Dit begint bij het vormen van een beleid rondom privacy en security. Dit is zeer belangrijk om ook daadwerkelijk gedegen om te kunnen gaan met de voorwaarden die deze wetgeving stelt.

Als eigenaar van de data bent u daarnaast ook verantwoordelijk voor andere partijen die met uw data aan de slag gaan. Zo’n partij wordt in de wet een ‘bewerker ‘ genoemd. Dit klinkt als een partij die de data echt bewerkt/ muteert, maar ook partijen die uw data beheren of (tijdelijk) in hun bezit hebben worden aangemerkt als bewerker.

Verplicht: een bewerkersovereenkomst

Het is inmiddels een wettelijke verplichting om een bewerkersovereenkomst af te sluiten met partijen die met uw data werken. Bijvoorbeeld met uw ICT leverancier maar wellicht ook met inhuurkrachten, uw bezorgdienst of uw accountant.

Samen voorkomen

Omdat DataVisual voor veel klanten data beheert (bijv. hosting en andere clouddiensten zoals cloud desktop of hosted telefonie) nemen wij binnenkort zelf het initiatief om in gesprek te gaan over het afsluiten van een bewerkersovereenkomst. Daarna gaan we periodiek in gesprek of de genomen maatregelen nog afdoende zijn en eventueel bijgesteld dienen te worden.

Zonde van het geld!

Na 1 januari is het risico op een bekeuring op de digitale snelweg dus aanzienlijk toegekomen en de potentiele boetes zijn zo hoog dat de uitspraak “zonde van het geld!” een understatement is! Om nog maar te zwijgen over imagoschade. Uiteindelijk gaat het bij privacy niet om de gegevens die iedereen kan vinden in een telefoonboek of op internet maar om de gegevens die de privacy van een individu kunnen schaden. Wilt u meer informatie over de gevolgen van deze wetgeving en/ of bent u op zoek naar een partner die u hierbij kan adviseren voor uw organisatie? Neem contact op met Menno Glaasker op het telefoonnummer 0547-380777.