Wijziging wet bescherming persoonsgegevens

Iedereen is het weleens overkomen: je vergeet een usb stick met gegevens na een afspraak of er wordt bij je ingebroken en je werktas wordt gestolen. Allemaal heel vervelend, maar het wordt vervelender als op je usb-stick of in je werktas nog persoonlijke gegevens van relaties of personeel zitten. Om te voorkomen dat gevoelige gegevens van relaties of personeel op straat komen te liggen, zodat iedereen daar “gebruik” van kan maken, heeft de wetgever de Wet Melding Datalekken per 1 januari 2016 ingevoerd. Dit is een aanscherping op de Wet Bescherming Persoonsgegevens.

Aanscherping Wet Melding Datalekken

Als je bedrijf zich, op welke manier dan ook, bezighoudt met het verwerken van persoonsgegevens, al is het maar door het voeren van een personeelsadministratie, moet je aan veel wettelijke eisen voldoen. De ervaring leert dat veel ondernemers onbekend zijn met deze regelgeving of er bewust voor kiezen deze naast zich neer te leggen. Tot op heden was dit niet erg risicovol: in het ergste geval kreeg je een boete van € 4.500.

Met de invoering van de Wet Melding Datalekken per 1 januari 2016 worden de regels flink aangescherpt en de boetebevoegdheden van het College Bescherming Persoonsgegevens (CPB)  uitgebreid. Zeker als je de verwerking uitbesteedt aan derde partijen is het belangrijk om op de hoogte te zijn van deze veranderingen. Zo kun je hoge claims en boetes, die kunnen oplopen tot acht ton, vermijden.

De Wet Bescherming Persoonsgegevens vóór 1 januari 2016

De Wet bescherming persoonsgegevens (WBP) is met name van toepassing op drie soorten personen:

  • De Verantwoordelijke: ‘de natuurlijke persoon, rechtspersoon of ieder ander die, of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.’
  • De Bewerker: ‘degene die ten behoeve van de Verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.’
  • De Betrokkene: ‘degene op wie een persoonsgegeven betrekking heeft.’

Zoals de naam al doet vermoeden, is de Verantwoordelijke de belangrijkste: hij moet niet alleen zelf aan de verplichtingen uit de Wbp voldoen, maar is ook verantwoordelijk voor de Bewerker en eventuele sub-Bewerkers.

Op naleving van de bepalingen uit de WBP wordt toegezien door het CPB. Deze organisatie heeft ook een bevoegdheid om bestuurlijke boetes op te leggen van ten hoogste €4.500 euro bij geconstateerde overtredingen.

De Wet Melding Datalekken vanaf 1 januari 2016

De Wet Melding Datalekken (WMD) is een wijziging van de Wet Bescherming Persoonsgegevens, waarmee een meldplicht voor inbreuken op beveiligingsmaatregelen voor persoonsgegevens wordt toegevoegd en de (boete)bevoegdheden van het College Bescherming Persoonsgegevens worden uitgebreid.

De Verantwoordelijke wordt verplicht om een datalek direct te melden aan het CBP en aan de Betrokkene. Melding aan de Betrokkene dient enkel plaats te vinden als ‘de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor zijn of haar persoonlijke levenssfeer’.

Een mededeling aan de Betrokkene moet duidelijk zijn en dient dus zo veel mogelijk feitelijk en in normaal (niet-juridisch) taalgebruik te zijn. Een dergelijke mededeling aan Betrokkene hoeft niet te worden gedaan als de betreffende persoonsgegevens door beveiligingsmaatregelen onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden, bijvoorbeeld als het om een verlies van een encrypted document gaat.

Daarnaast draagt de Verantwoordelijke zorg voor het voldoen aan de meldplicht door eventuele (sub-)Bewerker(s).

Bovendien worden ook de bevoegdheden van het CBP flink uitgebreid. Deze instantie zal voortaan door het leven gaan als ‘Autoriteit Persoonsgegevens’ en krijgt de mogelijkheid bepaalde overtredingen te bestraffen met boetes van €20.000, € 250.000 en € 810.000, en in uitzonderlijke gevallen zelfs van 10% van de jaaromzet van de onderneming.

Hoe beperk je de gevolgen van een datalek?

Het behoeft geen nadere toelichting dat de gevolgen van de invoering van de WMD groot zullen zijn. Elke ondernemer, die zich bezighoudt met verwerking van persoonsgegevens, zal zich van de nieuwe regels op de hoogte moeten stellen, beleid moeten maken en ook contracten moeten aanpassen om het risico van een hoge boete te voorkomen.

Tips hierbij zijn:

  • Creëer binnen je bedrijf bewustzijn van de verplichtingen op het gebied van bescherming van persoonsgegevens en meldplicht datalekken. Je kunt als Verantwoordelijke immers aansprakelijk zijn.
  • Zorg voor een duidelijk draaiboek, waardoor bij een datalek snel en efficiënt kan worden opgetreden.
  • Registreer alle datalekken binnen het bedrijf en houd deze bij in een lekregister, dit is wettelijk verplicht.
  • Wie werkt met Bewerkers en sub-Bewerkers moet duidelijke afspraken maken in de bewerkersovereenkomst, waarin alle rechten en verplichtingen over en weer in kaart worden gebracht.

De invoering van de WMD vereist dus heel wat veranderingen binnen je organisatie. De Raadgevers kan je helpen bij het nemen van de juiste maatregelen. Denk daarbij aan het opstellen van een bewerkersovereenkomst, een protocol of een meldregister.

Start typing and press Enter to search