Richtlijn datalekken kan bedrijven miljoenenboetes bezorgen

Gepubliceerd op: 1-5-2017
Richtlijn datalekken kan bedrijven miljoenenboetes bezorgen

Het bedrijfsleven voelt nu al de impact van de grote wetswijziging rond databescherming die volgend jaar van kracht wordt. Experts waarschuwen voor de gevolgen van de invoering van de nieuwe algemene verordening gegevensbescherming (AVG), de grootste wetswijziging op dit gebied in twee decennia. De eisen uit de Europese privacywetgeving zijn strenger dan de huidige wet bescherming persoonsgegevens (WBP). Wie verkeerd omgaat met persoonsgegevens kan vanaf 25 mei 2018 een boete opgelegd krijgen tot 4% van de jaaromzet, of € 20 mln. 'Datalekken waarbij persoonsgegevens zijn verloren of gestolen, moeten sneller gemeld worden en we kunnen eerder boetes uitdelen', zegt Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens. 'In de WBP moest er sprake zijn van opzet of grove schuld, deze bepaling verdwijnt. Beveiliging moet topprioriteit zijn.'

Meer grip op data

‘Bedrijven en overheden moeten er straks met de AVG voor zorgen dat ze meer grip en controle krijgen op wat er met hun data gebeurt’, zegt Diana Janssen, voorzitter van DDMA, de brancheorganisatie voor databasemarketing.

De wet geldt niet alleen voor Europese bedrijven en instituten. Ook internationale partijen, zelfs als ze geen vestiging in Europa hebben, moeten zich aan de regels houden als ze gegevens verwerken van Europeanen.

Volgens Janssen stelt vooral de nieuwe documentatieplicht en de verplichte privacy-administratie bedrijven voor uitdagingen. Van alle data moet minutieus in kaart gebracht worden waar ze vandaan komen, hoe ze beveiligd zijn en wie er toegang toe heeft. Bedrijven die hun klanten benaderen moeten voorafgaand aan iedere actie voortaan eerst een analyse uitvoeren van de impact op privacy.

Dataminimalisatie

Het belangrijkste doel van de wetswijziging is de burger meer macht geven. Ondernemingen en overheden moeten duidelijk maken waarom ze bepaalde gegevens willen vragen en waarvoor ze die gebruiken. Daarnaast krijgen burgers meer zeggenschap over hun data. Zo geldt het recht om vergeten te worden, maakt dataportabiliteit bij het overstappen naar een andere leverancier onderdeel uit van de bepaling en kunnen burgers laagdrempelig een klacht indienen bij de toezichthouder en inzage vragen in de data die over ze opgeslagen is. Toestemming intrekken moet net zo makkelijk worden als toestemming geven.

Toezicht

Een instantie of bedrijf moet verder een functionaris gegevensbescherming (FG) aanstellen. Janssen: 'Dat er zoveel FG’s nodig zijn is al een issue op zich, zeker voor grote bedrijven. Als je nog niet zo'n functionaris op het oog hebt, dan zou ik daar snel mee beginnen. Tegen mei 2018 zal de spoeling dun zijn.’ De FG krijgt een bijzondere rechtspositie binnen het bedrijf. De functionaris opereert onafhankelijk en kan minder makkelijk ontslagen worden.

‘Je zal in ieder geval iemand in het bedrijf verantwoordelijk moeten stellen voor de meldplicht’, vertelt Bastiaan Bakker van cybersecuritybedrijf Motiv. ‘Het kan niet zo zijn dat iemand van de IT-afdeling lukraak meldingen gaat doen.’

Janssen vindt dat bedrijven serieuzer om moeten gaan met de gegevens van hun klanten. 'Er wordt binnen de boardrooms te weinig nagedacht over wat een bedrijf wil met data. Het wordt te vaak overgelaten aan de marketing- en salesafdeling. Waarom maakt privacy niet naast duurzaamheid een vast onderdeel uit van het jaarverslag?' 

---------

Dit artikel is verschenen in Het Financieele Dagblad
Tekst: Rutger Betlem

Neem contact op met

Bastiaan Bakker (2)

Ir. Bastiaan Bakker

Directeur Business Development

+31 30 6877 007

Neem contact op per e-mail