Nieuwe wetgeving bescherming persoonsgegevens per 1 januari 2016 van kracht.

Op 9 juni 2015 schreef ik al een artikel over de veranderingen in de wetgeving meldplicht datalekken persoonsgegevens. Vorige week werd bekend dat de wetgeving per 1 januari 2016 van kracht gaat. Dat lijkt ver weg, maar gezien de voorbereidingen die de meeste organisaties nog moeten treffen is het opschieten geblazen.

Nu de ingangsdatum van deze nieuwe wetgeving vast staat, is het interessant om te weten wat de impact voor uw organisatie is. Moet u zich voorbereiden of komt het allemaal vanzelf goed?

Het is belangrijk om de gedachte achter deze wetgeving goed te begrijpen, dat maakt het eenvoudiger een inschatting te maken van de gevolgen van deze wet voor uw organisatie. De overheid zegt met deze wet in feite dat iedereen en iedere organisatie die persoonlijke informatie van anderen in bewaring heeft, volledig verantwoordelijk is voor de goede zorg van deze informatie. Goede zorg wil zeggen dat de persoonlijke gegevens van bijvoorbeeld uw patiënten, cliënten, klanten, relaties of medewerkers nooit in handen van derden mogen vallen. Deze wetgeving is niet gericht tegen de hacker maar tegen de gehackte, de organisatie die slachtoffer is van een hack. Uiteraard zal justitie de hacker vervolgen indien deze te achterhalen is, hoewel er in de praktijk vaak weinig van terecht komt. Zeker is dat het CBP (het College Bescherming Persoonsgegevens) u weet te vinden. Het CPB kan zelfstandig boetes opleggen en deze boetes kunnen aardig oplopen indien ze van mening is dat u niet zorgvuldig met de persoonlijke gegevens bent omgesprongen.

Mocht er een inbraak hebben plaatsgevonden, dan is de bewijslast aan u. U dient aan te tonen hoe de inbraak heeft plaatsgevonden, dat u afdoende maatregelen heeft getroffen om een inbraak te voorkomen en dat u met een vaste regelmaat afdoende onderzoek doet of laat doen naar de inbraakgevoeligheid van uw systemen. Het is aan u om te bewijzen dat u uw systemen, mensen en processen continue monitort en aanpast aan de laatste ontwikkelingen op security gebied. U moet aantonen dat u de persoonlijke gegevens die u in bewaring heeft uiterst zorgvuldig behandelt. Het verwijzen naar een externe leverancier die alles veilig in de cloud zou opbergen is geen afdoende antwoord. Het argument dat u niet had verwacht dat u het doelwit van een hack zou kunnen worden evenmin.

U heeft nog 6 maanden de tijd, wat moet u nu doen?
Uiteraard heeft u in het verleden al een aantal maatregelen getroffen om uw security op orde te brengen. De vraag is wat u nog niet heeft gedaan, en of u daar zicht op heeft. Het is van belang om zo snel mogelijk een totaal overzicht te krijgen van uw risico gebieden. De eerste stap is om de gehele omgeving die direct of indirect toegang kan krijgen tot persoonlijke informatie in kaart te brengen. Deze omgeving bestaat uit een samenhang van systemen, processen en mensen die met deze systemen en processen werken. Vanuit dit totaal overzicht kan een risico analyse worden uitgevoerd zodat u prioriteiten kunt stellen en gerichte acties kan ondernemen.

Als u in het verleden weinig tot niets aan security gedaan heeft, kunnen dit zeer complexe operaties worden. Maar ook als u in het verleden al de nodige maatregelen heeft getroffen is het de vraag wat u over het hoofd heeft gezien. Je weet niet wat je niet weet. Security is geen eenmalige actie, het is een continue verbeteringsproces. Waarbij voor het beste resultaat mensen van uw eigen organisatie zouden moeten sparren met specialisten van buiten. De vraag daarbij is natuurlijk wie u in vertrouwen neemt om uw beveiliging te toetsen?

Deze nieuwe wet raakt iedere organisatie die met klantgegevens werkt en het is dus van groot belang dat u op de hoogte bent van de beveiliging binnen uw organisatie.

Voor meer informatie: e-mail: hofstee@bellhayes.nl / telefoon: 0642 624 687.

About the author