Blog

Security

Security: hoe voorkom je een boete van 810.000 euro?

15 nov 2015

Als consultant maak ik veel kilometers per jaar, zo’n 70.000. Dan is de kans groot dat je met alle moderne controlesystemen gepakt wordt voor een snelheidsovertreding. Heel jammer en zonde van het geld. Die controlesystemen maken het bijna onmogelijk om nog ongezien hard te rijden. Lang leve de cruisecontrol, waardoor je automatisch niet te snel over onze Nederlandse snelwegen rijdt. Gek eigenlijk, dat er al wel een systeem bestaat voor snelheidsovertredingen op onze snelwegen, maar niet voor onze Nederlandse elektronische wegen. Maar dat gaat veranderen.

Jan Lo van Ollefen door Jan Lo van Ollefen

De wereld van de Wet bescherming persoonsgegevens

De politieke ontwikkelingen op het terrein van privacy en gegevensbescherming volgen elkaar in rap tempo op. Op Europees niveau heeft de commissie voor Burgerlijke Vrijheden, Justitie en Binnenlandse Zaken (LIBE) van het Europees Parlement op 21 oktober 2013 ingestemd met het ontwerpverslag en de ingediende amendementen. Ook heeft de LIBE commissie ingestemd met een mandaat om onderhandelingen te starten met de Raad. Enkele belangrijke voorgestelde wijzigingen op het eerste voorstel betreffen:

  • Als een land buiten de Europese Unie een bedrijf (bijvoorbeeld een zoekmachine, social networksite of een cloud provider) verzoekt om persoonsgegevens, die zijn verwerkt binnen de Europese Unie of die Europese burgers betreffen, te onthullen, dan moet dit bedrijf toestemming vragen aan haar nationale toezichthouder, voordat gegevens verstrekt kunnen worden. Het bedrijf moet dan tevens de betrokkene, degene om wiens gegevens het gaat, informeren over het verzoek tot gegevensoverdracht.
  • In het eerste voorstel, waar nu over onderhandeld wordt, zijn sancties voorgesteld voor het niet voldoen aan de gestelde eisen. Deze kunnen oplopen tot 1 miljoen euro of 2% van de wereldwijde jaaromzet. In het nieuwe voorstel zijn deze sancties verhoogd en kunnen ze oplopen tot 100 miljoen euro of tot 5% van de wereldwijde jaaromzet. Welk bedrag wordt gekozen hangt af van de vraag of het percentage van de wereldwijde omzet het vaste bedrag al dan niet overstijgt.

De Wet meldplicht datalekken

Op nationaal niveau is op 17 juni 2013 het wetsvoorstel meldplicht datalekken bij de Tweede Kamer ingediend. De verplichting tot het melden van datalekken door verantwoordelijken en bewerkers wordt geregeld door aanvullende bepalingen op te nemen in de Wet bescherming persoonsgegevens (Wbp) en de Telecommunicatiewet (Tw). In het wetsvoorstel is tevens geregeld dat de maximale bestuurlijke boete, die het College bescherming persoonsgegevens (Cbp) kan opleggen bij overtreding van de voorgestelde meldplicht, 810.000 euro bedraagt. Deze boete kan ook worden opgelegd bij overtreding van andere bepalingen van de Wet bescherming persoonsgegevens. In feite komt deze laatste wijziging neer op een algehele verhoging van de boetebevoegdheid van het Cbp van 4.500 naar 810.000 euro. De meldplicht van een datalek op nationaal niveau kent een breder toepassingsgebied dan de meldplicht van een datalek op grond van de Europese privacyverordening.

Whitepaper AVG WAN verbindingen

Gevolgen voor organisaties

Aan de ene kant bestaat er onzekerheid bij organisaties, doordat er nog volop diverse politieke discussies worden gevoerd op het vlak van gegevensbescherming, ook al is het wel duidelijk dat er hoe dan ook nieuwe privacywetgeving gaat komen. De inhoud van de nieuwe regelgeving zal waarschijnlijk liggen tussen de inhoud van het Commissievoorstel van 25 januari 2012 en het LIBE voorstel van 21 oktober 2013. Aan de andere kant dient een organisatie zich nu al degelijk en zorgvuldig voor te bereiden op wat er komen gaat, om zichzelf niet onnodig in een lastige positie te manoeuvreren.

Het organiseren van privacybescherming en het zorg dragen voor veilige verwerkingen vormt een steeds belangrijker aandachtspunt voor bestuurders van organisaties. Dit geldt ook voor toezichthouders en accountants in verband met de gevolgen voor het opstellen van de jaarrekening en het jaarverslag door het bestuur en het door de externe accountant goedkeuren van de jaarrekening en het jaarverslag. Als de accountant niet kan vaststellen dat adequate maatregelen zijn getroffen, moet een voorziening voor een mogelijke sanctie worden opgenomen in de verantwoording. Niet voldoen aan wet- en regelgeving kan, zeker in het voorgestelde Europese rechtskader voor de bescherming van persoonsgegevens, aanleiding zijn voor het opleggen van sancties van materieel belang.

Beheersmaatregelen
Een organisatie moet veel werk verzetten om aan de aankomende wet- en regelgeving op het terrein van privacy en gegevensbescherming te voldoen. Het is niet aannemelijk dat deze activiteiten binnen enkele maanden kunnen worden gerealiseerd. Er zijn verschillende manieren om de voorbereidingen op de aanstaande privacywetgeving vorm te geven. Gelet op de in dit artikel besproken nationale en Europese wetgeving worden hier enkele beheersmaatregelen en te hanteren instrumenten nader toegelicht. Wij onderscheiden:

  1. Het verkrijgen en behouden van overzicht over en inzicht in alle binnen de organisatie aanwezige verwerkingen van persoonsgegevens.
  2. Het uitvoeren van een Privacy Impact Assessment (PIA) om compliant te kunnen zijn met (aankomende) wet- en regelgeving en in control te kunnen zijn wanneer zich een datalek voordoet.
  3. Het aanstellen van een Functionaris voor de Gegevensbescherming en deze persoon in staat stellen om zijn taken adequaat uit te kunnen voeren.

Ten eerste wordt de blik gericht op het verkrijgen en behouden van overzicht en inzicht ten aanzien van alle verwerkingen van persoonsgegevens. Dit is geen simpele opgave en vereist een uitgebreide registratie van alles wat betrekking heeft op de verwerkingen van persoonsgegevens, inclusief de per verwerking genomen maatregelen en ingestelde mechanismes en procedures. Dit is een eerste stap naar het gestructureerd vastleggen van de privacyhuishouding.

Een tweede activiteit, die goed past in de route naar compliant zijn met privacy wet-en regelgeving, is het uitvoeren van een PIA. Hiermee kan in de beginfase van het aanleggen van bijvoorbeeld een systeem of een gegevensbestand duidelijk gemaakt worden wat de risico’s ten aanzien van privacy zijn. Een PIA kan ook binnen een staande organisatie worden uitgevoerd, waarbij de IST-situatie op het gebied van gegevensbescherming wordt beoordeeld. Deze beoordeling is relevant wanneer een organisatie terdege voorbereid wil zijn op een datalek.

Een derde manier om je als organisatie goed voor te bereiden op het zoveel mogelijk compliant zijn met de komende privacywetgeving, betreft het aanstellen van een Functionaris voor de Gegevensbescherming (FG), wanneer deze er nog niet is. De door de Commissie voorgestelde Europese privacyverordening stelt voor publieke organisaties en bedrijven met meer dan 250 werknemers het aanstellen van een FG verplicht.

Met andere woorden, neem op tijd maatregelen en schakel de cruisecontrol in. Zo vermijd je die vervelende bekeuringen en kom je niet voor nare verrassingen te staan.

Geïnteresseerd?

Jan Lo van Ollefen
Neem contact op met onze Connectivity- specialist Jan Lo van Ollefen

Jan Lo van Ollefen is Consultant bij Telindus. Dankzij zijn jarenlange ervaring in de IT heeft Jan Lo een breed scala aan bewezen expertises ontwikkeld. Zo is hij specialist op het gebied van BYO connectivity-oplossingen (Enterprise Access) en de secure datacenter infrastructuur. Jan Lo is binnen Telindus de solution architect voor de Enterprise Access oplossing en lead consultant op het gebied van Security by Design en de Business Compliant Infrastructuur. Hij is altijd gericht op oplossingen en kan daarbij bouwen op zijn kennis van vendoren als Cisco & Juniper networking, Ciena & Transmode optische networking, Riverbed, Vasco, NetApp en EMC.

Jan Lo is inmiddels niet meer werkzaam bij Telindus.

geen reacties
Plaats een reactie