Ieder bedrijf dat met persoonsgegevens te maken heeft, moet de gegevens beveiligingen. Het gaat in de praktijk vaak ‘fout’ doordat persoonsgegevens niet adequaat beveiligd zijn. Maar welke eisen stelt de wet aan de beveiliging? En hoe zit het met de kosten, want state of the art beveiliging kost nu eenmaal geld, zeker voor kleinere bedrijven. Ik krijg in mijn praktijk als advocaat privacy en data protectie regelmatig vragen over wanneer een bedrijf zijn beveiliging van persoonsgegevens nu op orde heeft. Zeker nu er meer aandacht is voor bescherming van persoonsgegevens door de wet meldplicht datalekken die 1 januari in werking is getreden.
De wet bescherming persoonsgegevens
Op grond van de wet bescherming persoonsgegevens (wbp) moet een verantwoordelijke ‘passende technische en organisatorische maatregelen’ nemen om de persoonsgegevens te beveiligen. Maar hoe bepaalt u nu wat passend is voor uw bedrijf? Ik ben geen specialist in informatiebeveiliging. Maar kennis hiervan is ook essentieel voor uw organisatie. Bescherming van persoonsgegevens is een samenspel tussen IT en legal.
Wat is passend voor uw organisatie?
Wat in uw organisatie ‘passend’ is, hangt af van uw concrete geval. Denk aan de grootte van uw onderneming, of u binnen of buiten Europa gegevens verwerkt, of u gevoelige gegevens (zoals medische gegevens) verwerkt en hoeveel gegevens u verwerkt. Per geval zult u dus de afweging moeten maken met ‘passend’ is. Daarbij geldt een aantal vuistregels. Wanneer u gevoelige gegevens verwerkt, heeft u te maken met strengere eisen die aan de beveiliging worden gesteld. Ook moet u kijken naar de stand van de techniek en daarin een afweging maken van wat passend is voor uw geval.
Privacy by design
Belangrijk is daarbij dat u het principe ‘privacy by design’ toepast. Dat betekent dat u al nadenkt over hoe u de persoonsgegevens gaat beveiligen, nog voordat u de gegevens verwerkt. Privacy by design is één van de onderdelen van de Algemene verordening gegevensbescherming die in 2017 het huidige wetgevende kader zal vervangen. Op die manier denkt u vantevoren al na over mogelijke risico’s en hoe u deze binnen uw organisatie kunt voorkomen.
Om privacy by design concreet vorm te geven, is een intern privacybeleid van essentieel belang. Hierin legt u bijvoorbeeld vast wie waar verantwoordelijk voor is, hoe u toezicht houdt op verschillende autorisatieniveaus en ook bij wie een melding moet worden gedaan in geval van een datalek. Ik ben ervan overtuigd dat privacy en bescherming van persoonsgegevens bij het bestuur op de agenda moet staan, maar dat u alle medewerkers die met data te maken hebben nodig heeft om te zorgen voor ‘passende’ maatregelen.
Goede beveiliging
Tot slot benadruk ik dat het voor een goede beveiliging essentieel is dat het onderwerp onder de aandacht blijft. Het implementeren van een goed intern privacybeleid heeft pas zin als u ook toezicht houdt. Bovendien verandert de stand van de techniek. Dat betekent dat wat nu ‘passend’ is gezien uw specifieke situatie, dat op korte termijn niet meer hoeft te zijn. De bescherming van persoonsgegevens is niet alleen een set regels waar u aan moet voldoen. Het is ook een mogelijkheid om het onderwerp als unique selling point in te zetten in uw organisatie.
Simone Dirven
Advocaat privacy, data protectie en intellectueel eigendomsrecht
Kessels Advocaten
Spreker op ons Congres Data Protectie op 30 juni 2016
èèn Reactie
Pingback: Sparren over privacyrecht | Spreker op congres Toekomst van Privacy en Data Protectie