2. 2
Inleiding
Er zijn belangrijke ontwikkelingen in de privacywetgeving. Dit heeft consequenties voor het be-
drijfsleven.
Ter vervanging van de 27 verschillende privacywetgevingen die binnen de Europese lidstaten wor-
den gebruikt is er per April 2016 een nieuwe Europese Privacywetgeving ingegaan (GDPR of AVG)
die voor alle Europese lidstaten exact hetzelfde is. Deze wetgeving stelt zware eisen aan de be-
scherming en het waarborgen van de privacy van persoonsgegevens. Bedrijven krijgen 2 jaar de
tijd om zich op deze wetgeving voor te bereiden. Er moeten een aantal zaken worden geregeld.
In Mei 2018 zal gestart worden met de handhaving van deze nieuwe Europese wetgeving.
Wbp: Nederlandse wetgeving is al in Januari 2016 aangepast!
Vooruitlopend op bovengenoemde nieuwe Europese wetgeving zijn er in Nederland al in Januari
2016 een aantal belangrijke wijzigingen doorgevoerd in de Wbp. Ze hebben een aantal elementen
van de nieuwe Europese wetgeving alvast in de Nederlandse wet ingebracht.
De veranderingen die in de wetgeving zijn aangebracht:
Meldplicht voor datalekken
Vergroting van de boetebevoegdheid van de toezichthouder
Verandering van de naam van de toezichthouder
Verplichting om aantoonbaar inzicht te hebben in de gegevensverwerkingen en privacy
risico’s. (privacy administratie)
Meldplicht voor datalekken
Ernstige incidenten waarbij persoonsgegevens toegankelijk worden voor onbevoegden moeten in
de nieuwe wetgeving “onverwijld” (= binnen 72 uur!) worden gemeld aan de toezichthouder. Een
datalek kan onder andere ontstaan door een hackersaanval, een verloren USB-stick, Laptop, tablet
of smartphone, een fysieke inbraak, een verkeerd gestuurde email, etc. De melding aan de toe-
zichthouder bevat een grote hoeveelheid gedetailleerde informatie zoals de aard van het datalek,
hoe het is ontstaan, welke maatregelen er genomen worden, hoeveel betrokkenen, en in hoever-
re er kans is op privacy schending van de betrokkenen. Indien er sprake is van privacy schending
voor de betrokkenen zal er ook een melding plaats moeten vinden aan alle betrokkenen.
Vergroting van de boetebevoegdheid van de toezichthouder
In de nieuwe wetgeving kan de toezichthouder een bestuurlijke boete opleggen van ten hoogste
de 6de
categorie van Artikel 23, vierde lid Wetboek van Strafrecht. Dit zijn boetes van materieel
belang. Deze boetes zullen niet direct uitgedeeld worden. De toezichthouder zal eerst een dwin-
gend advies afgeven, tenzij er sprake is van verwijtbaar gedrag.
Verandering van de naam van de toezichthouder
Sinds 1 januari 2016 heeft de toezichthouder een nieuwe naam gekregen. De naam is veranderd
van “College Bescherming Persoonsgegevens” (CBP) naar “Autoriteit Persoonsgegevens” (AP).
Aantoonbaar inzicht
Bedrijven dienen aantoonbaar inzicht te hebben in hun gegevensverwerkingen en deze informatie
beschikbaar te hebben middels een actueel bijgehouden privacy-administratie.
3. 3
Ook voor u?
Persoonsgegevens zijn gegevens die direct of indirect te herleiden zijn naar individuele personen.
Alles wat u met deze gegevens kunt doen (verzin maar een werkwoord) valt onder de verwerking
van persoonsgegevens. (Voorbeelden: opslaan, inzien, muteren, deleten, verspreiden, printen,
kopiëren, back-uppen, etc. etc.)
Elk bedrijf verwerkt gegevens die te herleiden zijn naar personen. Denk maar eens aan het klan-
ten- of relatie-bestand en het eigen personeelsbestand. Ook worden er door bedrijven vaak per-
soonsgegevens verwerkt die van andere organisaties afkomstig zijn. In al deze gevallen moet je
voldoen aan de Wbp.
Dit betekent dat u moet voldoen aan de Wbp.
Ook als u uw gegevens laat verwerken door een andere partij (bewerker) zoals een salarisverwer-
ker of een clouddienst. U bent en blijft verantwoordelijk voor de verwerkingen van “uw” per-
soonsgegevens en u wordt aansprakelijk gesteld als er met “uw” gegevens een datalek ontstaat.
Bewerkersovereenkomsten zijn (al sinds 2001) wettelijk verplicht en moeten nu informatie bevat-
ten over hoe beide partijen omgaan met de nieuwe wetgeving. Zo zal er iets moeten instaan over
de aansprakelijkheid in geval van boetes en het niveau van de securitymaatregelen die de bewer-
ker heeft getroffen om “uw” persoonsgegevens te beschermen. Laat ook uw bewerkersovereen-
komsten dus goed controleren en waar nodig aanpassen!
Wie pakt dit binnen uw organisatie op?
De gevolgen van deze wetgeving reiken veel verder dan alleen uw IT- of security-afdeling. Het is
van belang dat bedrijven zich dit realiseren. De gevolgen van deze wijziging in de wetgeving moe-
ten eerder gezocht worden bij het Algemeen management / Juridische afdeling, de HR afdeling, de
Financiële afdeling en Marketing & Communicatie. Hieronder een korte toelichting:
Jaarstukken (Accountancy, financieel management)
Indien een organisatie onvoldoende voorzorgen heeft genomen met betrekking tot de nieuwe
wetgeving is er een risico door de Autoriteit Persoonsgegevens beboet te worden. Deze boetes
zijn van materieel belang. Hierdoor zou er een discussie kunnen ontstaan met uw accountant in
verband met de goedkeuring van de jaarstukken. Bij onacceptabele hoge risico’s kan een accoun-
tant de jaarrekening niet goedkeuren.
Aansprakelijkheid (Juridische zaken)
Bij onvoldoende maatregelen of voorzieningen voor privacybescherming loopt een organisatie
grote kans dat klanten of ketenpartners een organisatie aansprakelijk stellen voor geleden schade,
gemaakte kosten of opgelegde boetes. Het laten controleren en aanpassen van de bewerkers-
overeenkomsten met uw hosting partijen en/of clouddienst providers (salarisverwerker, online
boekhouding, data-opslag, etc.) is daarom noodzakelijk.
Compliance (Raad van Bestuur, directie)
Documentatie met betrekking tot de compliance aan de nieuwe wetgeving dient aantoonbaar te
zijn en altijd beschikbaar. Het is van belang om altijd te kunnen aantonen, door middel van actue-
le documentatie en administratie, dat er inzicht is in de gegevensverwerkingen en privacy risico’s
en dat er aan de wetgeving wordt voldaan.
4. 4
HR (Personeelszaken)
Het voorkomen van datalekken voorkomt veel problemen en hoge boetes. Veilig gedrag van me-
dewerkers met ICT-middelen en bedrijfsinformatie maakt een organisatie weerbaar en verlaagt
het aantal security incidenten en datalekken. Security- en Privacy Awareness zijn belangrijke as-
pecten bij de dagelijkse werkzaamheden van alle medewerkers.
Reputatie (Marketing/Communicatie, Directie)
Voorkom dat u negatief in de publiciteit komt. De Autoriteit Persoonsgegevens publiceert op hun
website (www.autoriteitpersoonsgegevens.nl) over hun activiteiten. Berispte bedrijhven worden
met naam genoemd.
Wat doet u bij een datalek? Het is aan te raden een communicatie-actieplan klaar te hebben voor
het geval er een datalek optreedt waarover zaken in het nieuws kunnen komen. Wat en hoe gaat
u “naar buiten toe” communiceren?
Technische securitymaatregelen. (ICT, security)
De kans op datalekken kan gereduceerd worden als de juiste maatregelen worden genomen op
drie belangrijke pijlers: Mens, Organisatie en Techniek. Welke maatregelen dat zijn kunt u het
beste bepalen na een degelijk onderzoek naar de risico’s.
Wat de techniek betreft is het van belang om het netwerk met grote regelmaat of continu te
scannen op vulnerabilities, malware en de configuratie-settings. Hiervoor zijn bekende en geavan-
ceerde tools beschikbaar zoals Nessus en SecurityCenter.
Zoals u hierboven kunt lezen is deze ontwikkeling in de privacywetgeving niet iets wat "typisch
ICT" is. Het raakt (en vereist actie!) vanuit de directie, de juridische afdeling, HR en Marketing!
RI&E Security en RI&E Privacy
Bij een RI&E worden de meest belangrijke aandachtsgebieden van uw informatiebeveiliging en
gegevensverwerkingen onder de loep genomen. Pas als u weet wat de risico’s zijn kunt u de juiste
maatregelen nemen. U wilt niet onnodig veel beveiligen maar wel uw risico’s beperken en niet in
discussie komen met de toezichthouder. Zekerheid van minimale tijdsinvestering voor u en gede-
gen begeleiding door experts.
RI&E Privacy: Weet waar u staat met betrekking tot compliance aan de privacywetgeving!
Na de RI&E Privacy beschikt u over belangrijke informatie over uw gegevensverwerkingen. U krijgt
een betrouwbaar beeld over de situatie met betrekking tot de privacy risico’s van uw gegevens-
verwerkingen. Vraag de RI&E Privacy Checklist aan via www.sebyde.nl/rie-privacy
RI&E Security: U voorkomt hiermee grote digitale schade!
Met de RI&E Security van Sebyde brengt u feilloos alle risico’s van uw digitale werkvloer in kaart
en krijgt u een betrouwbaar beeld over de situatie met betrekking tot uw informatiebeveiliging.
Vraag de RI&E Security Checklist aan via www.sebyde.nl/rie-security
5. 5
Workshop “Privacy en de Meldplicht voor datalekken”
Vanuit onze Sebyde Academy bieden we een zeer goed gewaardeerde workshop aan over de
gevolgen van de nieuwe Wbp en de meldplicht datalekken. Deze workshop van 1 dag is bedoeld
voor iedereen die binnen een organisatie betrokken of verantwoordelijk is voor het waarborgen
van de veiligheid en de privacy van gegevens. Deze mensen dienen op de hoogte te zijn van de
privacywetgeving en de gevolgen van meldplicht datalekken. Dit kan bijvoorbeeld directie zijn,
financieel managers, personeelszaken, juridische medewerkers, ICT mensen.
Tijdens deze workshop behandelt onze FG (Functionaris Gegevensbescherming) de veranderingen
in de Wbp en hij legt uit wat de gevolgen zijn van de meldplicht datalekken. Tevens wordt aan-
dacht besteed aan de maatregelen die je kunt nemen om je voor te bereiden op de nieuwe wet-
geving. Wat moet je doen en welke informatie moet je beschikbaar hebben voor de autoriteit in
het geval van een incident.
Contact gegevens Sebyde BV en Sebyde Academy
Sebyde BV
Telefoon: 085 - 2733376
Email: info@sebyde.nl
Website Sebyde BV: www.sebyde.nl
Website Sebyde Academy: www.sebydeacademy.nl
LinkedIn: www.linkedin.com/company/sebyde-bv
Twitter: www.twitter.com/SebydeBV
Facebook: www.facebook.com/sebydeBV