Privacy en datalekken, nu en straks

In mei heeft onze partner CJ2 Hosting B.V. een kennissessie georganiseerd in de CJ2 datatoren van Alticom. Deze kennissessie stond in het teken van de ‘nieuwe Algemene Verordening Gegevensbescherming’ (AVG). Harry Smeltekop, advocaat van Yspeert advocaten en tevens docent aan onder andere de RUG, heeft de praktische toepassing van de nieuwe verordening en de gevolgen hiervan voor het bedrijfsleven toegelicht.

Op 1 januari 2016 is de Wbp (Wet bescherming persoonsgegevens) van kracht gegaan en geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. Soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). In 2016 zijn in totaal bijna 5700 datalekken gemeld aan de AP. De meeste datalekken werden gemeld vanuit de sectoren gezondheid en welzijn (29%), financiële dienstverlening (17%) en openbaar bestuur (15%).

De AP heeft meer dan 4000 meldingen gecontroleerd. Ruim 100 organisaties kregen een waarschuwing van de AP. In enkele andere tientallen gevallen is er sprake van een diepgaander onderzoek van de AP. Er zijn in 2016 geen boetes uitgedeeld.

Per 25 mei 2018 wordt de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie. De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. Als de AVG van toepassing is hebben organisaties die persoonsgegevens verwerken, meer verplichtingen. Er wordt in de AVG meer nadruk gelegd op de verantwoordelijkheid van organisaties zelf om te kunnen aantonen dat zij zich aan de wet houden. Zo kunnen ze straks verplicht worden een privacy impact assessment (PIA) uit te voeren en ze kunnen verplicht worden een functionaris voor de gegevensbescherming (FG) aan te stellen. Als de AVG ingaat hoeven organisaties verwerkingen van persoonsgegevens niet meer te melden bij de AP.

Organisaties moeten waken voor een datalek. Een datalek kan bijvoorbeeld ontstaan door het hacken van een databestand, een gestolen laptop, verkeerd bezorgde poststukken, maar ook door het kwijtraken van een USB-stick. Dit kan ernstige gevolgen hebben. Een juiste omgang met persoonsgegevens is gekoppeld aan het vertrouwen dat klanten stellen in organisaties. Wanneer een organisatie op een verkeerde manier met persoonsgegevens om zou gaan, zal het vertrouwen in die organisatie dalen, wat kan leiden tot reputatieschade en een verslechterde positie in de markt.

Bij de Wbp hoeft alleen een ‘ernstig’ datalek gemeld te worden. Dit woord is natuurlijk een subjectief begrip. Organisaties moeten nu zelf bepalen of het datalek kan leiden tot ernstige gevolgen voor de bescherming van persoonsgegevens. Bij de AVG moet verlies van data sowieso gemeld worden, ernstig of niet. Boetes liegen er niet om, een overtreding van de meldplicht datalekken kan leiden tot een boete van maximaal € 20.000.000,- of 4% van de jaaromzet.

U kunt nu al stappen ondernemen om tijdig klaar te zijn voor de komst van de AVG. Onderzoek alvast of u uw huidige processen, diensten en goederen op bepaalde punten moet aanpassen om te voldoen aan de AVG.

Dit artikel is mede tot stand gekomen door Yspeert Advocaten, telefoonnummer +31 50 314 42 80.

Mr. Harry Smeltekop
Advocaat bij Yspeert Advocaten en docent aan Hogeschool Bremen, Rijksuniversiteit Groningen en Hanzehogeschool Groningen.
Gespecialiseerd in privacy wetgeving en merkenrecht.

Reageren?

*

Wilt u de allerlaatste Alticom-updates ontvangen?

Over Alticom

Zoekt u een datacenter in de buurt? Alticom biedt u een betrouwbare, flexibele en groene oplossing. En dat op een unieke locatie. Wij bieden datacenter diensten aan in 24 hoge mediatorens die verspreid zijn over Nederland. Daarom: Swartsave uw data met de datacenters van Alticom.

Alticom B.V.

Branderweg 7 8042 PD Zwolle
T: 038 423 8997 info@alticom.nl