Privacy wetgeving, bent u er klaar voor?

De privacy wetgeving is veel strenger geworden.

Het CBP “College Bescherming Persoonsgegevens” krijgt boetebevoegdheid en wordt Autoriteit Persoonsgegevens. Wat betekent dit voor bedrijven? Alle informatie is te vinden bij de Autoriteit Persoonsgegevens. Maar hier geef ik vast een aantal zaken weer die met de Privacy wetgeving te maken hebben. Dit is zeer summier!

In de Wet bescherming persoonsgegevens (Wbp) staat dat u de persoonsgegevens die u verwerkt moet beveiligen tegen verlies en tegen onrechtmatige verwerking (artikel 13 Wbp).

Boete:

Bij overtreding van de meldplicht datalekken uit de Wbp kan de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen. Deze bestuurlijke boete bedraagt ten hoogste het bedrag van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht. Dat is per 1 januari 2016 maximaal 820.000 euro.

Meldplicht datalekken:

Op 1 januari 2016 gaat de meldplicht datalekken in. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) onverwijld een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En in een aantal gevallen moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Iedereen heeft recht op eerbiediging en bescherming van zijn persoonlijke levenssfeer en een zorgvuldige omgang met zijn persoonsgegevens. De regels hiervoor zijn vastgelegd in de Wet bescherming persoonsgegevens (Wbp). Hierin staat dat u de persoonsgegevens die u verwerkt moet beveiligen tegen verlies en tegen onrechtmatige verwerking (artikel 13 Wbp). Een datalek moet worden gemeld aan de Autoriteit Persoonsgegevens als het leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens (artikel 34a, eerste lid, Wbp). Het datalek moet daarnaast ook worden gemeld aan de betrokkene indien het waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer (artikel 34a, tweede lid, Wbp).

Datalek:

Er is alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Bij een beveiligingsincident moet u bijvoorbeeld denken aan het kwijtraken van een USB-stick, de diefstal van een laptop of aan een inbraak door een hacker. Maar niet ieder beveiligingsincident is ook een datalek. Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als u onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten. Als alleen sprake is van een zwakke plek in de beveiliging, spreken we van een beveiligingslek en niet van een datalek. U hoeft dan geen melding te doen aan de Autoriteit Persoonsgegevens.

De teksten hier boven onder de kopjes “Boete“, “Meldplicht datalekken” en “Datalek” komen uit het beleidsregels_meldplicht_datalekken.pdf welke u kunt downloaden van de Autoriteit Persoonsgegevens.

Doet u zelf alvast een privacycheck voor uw onderneming met deze informatie.

Neem de juiste voorzorgen in het kader van Privacy wetgeving

Waar gaat het nu om en wat kunt u doen om een datalek te voorkomen?

Onder de kop “Melden aan de Autoriteit Persoonsgegevens” kunt u precies lezen in welke gevallen u een incident moet melden.

In het simpelste geval kan het gaan om een USB stick, een telefoon of een computer met daarop gegevens van uw klanten zoals bijvoorbeeld:

• Gebruikersnamen, wachtwoorden en andere inloggegevens (bijvoorbeeld bij een website bouwer)
• Gegevens die kunnen worden misbruikt voor (identiteits)fraude (bijvoorbeeld bij administraties)

Als u bovengenoemde zaken niet meer in uw bezit heeft door verlies of diefstal spreken we van een beveiligingsincident.

Bij beveiligingsincidenten waar sprake kan zijn van een inbreuk op de beveiliging van persoonsgegevens moet u bijvoorbeeld denken aan:

• een kwijtgeraakte USB-stick
• een gestolen laptop
• een inbraak door een hacker
• een malware-besmetting
• een calamiteit zoals een brand in een datacentrum.
• Maar ook als gegevens tijdelijk niet in uw bezit waren en later weer terug bezorgd worden!

U doet er verstandig aan om gegevens zo veel mogelijk te anonimiseren omdat de AP versleutelde gegevens nog steeds als persoonsgegevens blijft zien. Dit omdat deze weer ontsleuteld kunnen worden.

Gegevens die verloren gaan (ook als deze versleuteld is) door brand of anderszins vormen een datalek wat gemeld moet worden indien de gegevens vallen onder de regels van de AP en er is geen actuele reservekopie beschikbaar. De AP geeft ook veel praktische voorbeelden om u te helpen.

U zult bij elk incident moeten bepalen of er sprake is van een datalek en of u dat moet melden. De privacy wetgeving is streng en uitgebreid. Laat u door een expert voorlichten als u er moeite mee heeft.

De volgende maatregelen kunnen u helpen om datalekken zo veel mogelijk te beperken:

• Houd uw computers met alle software zo goed en zo snel mogelijk bijgewerkt met de laatste updates.
• Laat uw computers regelmatig controleren door een ervaren expert.
• Laat geen kinderen toe op uw zakelijke computers en beveilig deze met een wachtwoord. (ik zie dit soms gebeuren)
• Beperk de toegang tot persoonsgegevens tot het hoogst noodzakelijke aantal personen.
• Bewaar gegevens niet langer dan noodzakelijk.
• Gebruik moderne beveiligingstechnieken.
• Gebruik versleuteling van uw harde schijf en alle andere opslag media.
• Bij verlies van een smartphone met gegevens moet deze versleuteld zijn en gewist kunnen worden na een aantal inlog pogingen of op afstand door u zelf.
• Gebruik een goede virus scanner en liefst ook een malwarescanner zoals Malwarebytes.
• Zorg voor een goede backup strategie met versleutelde backups. (een backup kan totaal verlies voorkomen)
• Bewaar backups op media die niet zijn verbonden met de computer tijdens gebruik. Dus niet op een altijd verbonden NAS of USB schijf en ook niet in The Cloud!
• Doe geen onnodige of overbodige registratie van persoonsgegevens. Dus niet alle gegevens invullen in de contacten van uw mail programma!
• Maak geen onnodige kopieën van persoonsgegevens.
• Maak gebruik van anonimiseren van gegevens (voorbeeld: bij het meten van bezoekers op uw website laat u de laatste drie cijfers weg van het IP adres).
• Maak al uw maatregelen aantoonbaar voor de AP in geval van twijfel of misverstand.
• Vervoer gegevens dragers in een deugdelijke koffer met een goed slot en sluit deze af tijdens transport. (zie voorbeeld van de AP)

Zoals in het begin reeds gezegd is dit een zeer summier verhaal. Het komt er op neer dat elke situatie anders is en dus apart beoordeeld moet worden. Uw situatie kunt u niet vergelijken met andere voorvallen waar u kennis van heeft genomen.

Ook kunt u zich hier niet makkelijk van af maken. Dat gaat net zo lang tot het fout loopt. Daarna is vrij eenvoudig aan te tonen hoe u in gebreke bent gebleven.

Tot slot: Computable meld op 8 maart 2016 dat er in de eerste twee maanden al 700 meldingen van datalekken zijn gedaan!

Neem contact met mij op voor computerhulp aan huis als u de bovenstaande maatregelen wilt uitvoeren.

Wilt u mijn nieuwsbrief ontvangen? Schrijf u hier in! Dan weet u wat mijn volgende artikelen worden nog voor de publicatie!

Ik stel het op prijs als u onbruikbare links wilt melden via het contactformulier.

Deel alstublieft dit bericht op Social Media met de knoppen hier onder.