Privacywet | Meldplicht Datalekken

Per 25 mei 2018 de huidige Wet bescherming persoonsgegevens (Wbp) vervangen door de AVG. In deze wet krijgt de Autoriteit Persoonsgegevens zelfstandig de bevoegdheid een bestuurlijke boete op te leggen bij overtreding van privacyregels en worden de regels voor het omgaan met privacygevoelige data (persoonsgegevens) flink aangescherpt.

Europese Privacyverordening GDPR / AVG

Reeds in 2012 heeft de Europese Commissie een voorstel ingediend voor deze nieuwe Europese Privacyverordening. Een verordening is onmiddellijk bindend voor alle lidstaten en hoeft in tegenstelling tot een Europese richtlijn niet omgezet te worden in Nationale wetgeving. Onze Nationale privacywetgeving is onderliggend aan Europese wetgeving (General Data Protection Regulation). Een van de uitgangspunten in deze nieuwe verordening is het principe van ‘privacy by design’. Van overheid en bedrijfsleven wordt verwacht dat zij bij de ontwikkeling en toepassing van (nieuwe) diensten en producten rekening houden met eventuele privacy risico’s voor gebruikers.

Extra dimensie voor organisaties, bedrijven en overheden

Deze GDPR / AVG luidt een hele nieuwe fase in voor de bewustwording van cyberrisico’s. Organisaties zijn immers tot nu toe geneigd om bij ieder datalek vooral zo weinig mogelijk publiciteit hieraan te geven vanwege een reële reputatie / imagoschade. Door deze nieuwe wetgeving met Meldplicht Datalekken zal aan veel meer incidenten ruchtbaarheid moeten worden gegeven.

Compliance

Compliance is nu een zeer belangrijk hoofdstuk. De eerst logische reactie van een organisatie om een (mogelijk) datalek intern te houden is niet meer aan te raden. Onverwijld (er wordt een termijn genoemd van maximaal 72 uur voor onderzoek) moet de organisatie - gekwantificeerd en gekwalificeerd - de Autoriteit en soms ook de betrokkenen informeren over welke data gelekt zijn en wat de organisatie hier voor maatregelen treft. De verantwoordelijke moet in ieder geval in kaart brengen:

  • Welke privacy gevoelige data wordt verwerkt
  • De classificatie van deze privacy gevoelige data
  • Of de privacy gevoelige data wettelijk mag worden verwerkt
  • Waar de data wordt opgeslagen en welke afspraken er zijn gemaakt
  • Wat de impact is van verlies / lekken / diefstal / misbruiken van de informatie voor alle betrokkenen

Data Protection  Impact Assessment

De verantwoordelijke heeft de mogelijkheid om via CYCO een Data Protection Impact Assessment te laten uitvoeren. Voorheen heette dit een PIA (privacy impact assessment). Alle bovenstaande vragen worden door ons samen met u geanalyseerd en beoordeeld. We geven u advies over mogelijk te nemen maatregelen en helpen u bij de implementatie. Dan kunt u aantonen dat u de privacy gevoelige data in uw organisatie serieus neemt en voorkomt u torenhoge boetes.

Staatscourant - juridisch kader Meldplicht Datalekken

Beleidsregels Meldplicht Datalekken - Autoriteit Persoonsgegevens