Richtlijn datalekken kan bedrijven miljoenenboetes bezorgen

Het bedrijfsleven voelt nu al de impact van de grote wetswijziging rond databescherming die volgend jaar van kracht wordt. Experts waarschuwen voor de gevolgen van de invoering van de nieuwe algemene verordening gegevensbescherming (AVG), de grootste wetswijziging op dit gebied in twee decennia.

De eisen uit de Europese privacywetgeving zijn strenger dan de huidige wet bescherming persoonsgegevens (WBP). Wie verkeerd omgaat met persoonsgegevens kan vanaf 25 mei 2018 een boete opgelegd krijgen tot 4% van de jaaromzet, of € 20 mln.

Overal waar personeel met gevoelige informatie werkt, lopen bedrijven risico's
Overal waar personeel met gevoelige informatie werkt, lopen bedrijven risico’sFoto: David Rozing / Hollandse Hoogte

‘Datalekken waarbij persoonsgegevens zijn verloren of gestolen, moeten sneller gemeld worden en we kunnen eerder boetes uitdelen’, zegt Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens. ‘In de WBP moest er sprake zijn van opzet of grove schuld, deze bepaling verdwijnt. Beveiliging moet topprioriteit zijn.’

Meer grip op data

‘Bedrijven en overheden moeten er straks met de AVG voor zorgen dat ze meer grip en controle krijgen op wat er met hun data gebeurt’, zegt Diana Janssen, voorzitter van DDMA, de brancheorganisatie voor marketing en data.

De wet geldt niet alleen voor Europese bedrijven en instituten. Ook internationale partijen, zelfs als ze geen vestiging in Europa hebben, moeten zich aan de regels houden als ze gegevens verwerken van Europeanen.

Volgens Janssen stelt vooral de nieuwe documentatieplicht en de verplichte privacy-administratie bedrijven voor uitdagingen. Van alle data moet minutieus in kaart gebracht worden waar ze vandaan komen, hoe ze beveiligd zijn en wie er toegang toe heeft. Bedrijven die hun klanten benaderen moeten voorafgaand aan iedere actie voortaan eerst een analyse uitvoeren van de impact op privacy.

Dataminimalisatie

Voorkom lekken

1) Installeer een datalek filter. Zo’n systeem controleert het uitgaande dataverkeer

2) Zorg voor goede encryptie op telefoon, computer en usb-stick

3) Gebruik op telefoon en tablet een applicatie waarmee e-mail beveiligd wordt

Het belangrijkste doel van de wetswijziging is de burger meer macht geven. Ondernemingen en overheden moeten duidelijk maken waarom ze bepaalde gegevens willen vragen en waarvoor ze die gebruiken. Daarnaast krijgen burgers meer zeggenschap over hun data. Zo geldt het recht om vergeten te worden, maakt dataportabiliteit bij het overstappen naar een andere leverancier onderdeel uit van de bepaling en kunnen burgers laagdrempelig een klacht indienen bij de toezichthouder en inzage vragen in de data die over ze opgeslagen is. Toestemming intrekken moet net zo makkelijk worden als toestemming geven.

Toezicht

Een instantie of bedrijf moet verder een functionaris gegevensbescherming (FG) aanstellen. Janssen: ‘Dat er zoveel FG’s nodig zijn is al een issue op zich, zeker voor grote bedrijven. Als je nog niet zo’n functionaris op het oog hebt, dan zou ik daar snel mee beginnen. Tegen mei 2018 zal de spoeling dun zijn.’ De FG krijgt een bijzondere rechtspositie binnen het bedrijf. De functionaris opereert onafhankelijk en kan minder makkelijk ontslagen worden.

‘Je zal in ieder geval iemand in het bedrijf verantwoordelijk moeten stellen voor de meldplicht’, vertelt Bastiaan Bakker van cybersecuritybedrijf Motiv. ‘Het kan niet zo zijn dat iemand van de IT-afdeling lukraak meldingen gaat doen.’

Volgens de ondernemer ontstaan de meeste problemen doordat per ongeluk data gelekt wordt– denk aan het automatisch aanvullen van e-mailadressen waardoor een mailtje naar de verkeerde persoon gestuurd wordt. Om de deadline van 2018 te halen raadt Bakker ondernemers aan om in ieder geval te kijken naar de bewerkersovereenkomsten van leveranciers, oude en overtollige data te verwijderen en om data zoveel mogelijk te consolideren op één plek. ‘Dat de IT is uitbesteed, betekent niet dat je niets hoeft te doen.’

Nieuwe meldplicht legt bewijslast bij ondernemer

Janssen vindt dat bedrijven serieuzer om moeten gaan met de gegevens van hun klanten. ‘Er wordt binnen de boardrooms te weinig nagedacht over wat een bedrijf wil met data. Het wordt te vaak overgelaten aan de marketing- en salesafdeling. Waarom maakt privacy niet naast duurzaamheid een vast onderdeel uit van het jaarverslag?’