Beveiliging van persoonsgegevens
Iedereen moet er op kunnen vertrouwen dat zijn of haar persoonsgegevens voldoende worden beveiligd, want de Wbp geeft aan dat persoonsgegevens goed beveiligd moeten worden. De organisatie moet passende organisatorische en technische maatregelen treffen om dit te bereiken. Ze zullen moderne techniek moeten gebruiken om de veiligheid te waarborgen. Ook zullen zij intern na moeten gaan hoe wordt omgegaan met persoonsgegevens. Wie heeft bijvoorbeeld toegang tot welke gegevens?
Op 1 januari 2016 is de meldplicht datalekken in werking getreden. Deze meldplicht houdt in dat organisaties direct een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. In sommige gevallen moeten zelfs de betrokkenen geïnformeerd worden over het datalek.
Een datalek?
Een datalek is een inbreuk op de beveiliging waarbij persoonsgegevens worden vernietigd, gewijzigd of vrijkomen zonder dat dit de bedoeling is van de organisatie. Onrechtmatige verwerking van persoonsgegevens valt dus ook onder een datalek. Voorbeelden van een datalek zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak door een hacker. De AP heeft beleidsregels opgesteld om organisaties te helpen bij het bepalen of er sprake is van een datalek en of zij dit datalek moeten melden. De AP kan boetes tot € 820.000,- of 10% van de jaaromzet opleggen wanneer een datalek niet wordt gemeld, persoonsgegevens worden verwerkt zonder grondslag, persoonsgegevens langer worden bewaard dan noodzakelijk, er onvoldoende beveiligingsmaatregelen worden genomen of zonder uitzonderingsgrond bijzondere persoonsgegevens worden verwerkt. Kortom, de sancties op overtreding van de Wbp kunnen verregaand zijn. De AP zal in eerste instantie eerst een bindende aanwijzing geven alvorens een boete uit te schrijven. Maar de boetedreiging blijft, dus het is verstandig om jouw organisatie compliant te maken met de wet- en regelgeving omtrent de bescherming van persoonsgegevens.
De Data Protection Officer (DPO)
Om de bescherming van persoonsgegevens zo soepel mogelijk te laten verlopen, doe je er verstandig aan een DPO aan te stellen, hetzij intern of extern. Met de inwerkingtreding van de Europese Verordening Gegevensbescherming (medio 2018) wordt het aanwijzen van een DPO (functionaris voor gegevensbescherming) verplicht voor overheidsinstanties, organisaties die op grote schaal persoonsgegevens verwerken en bij verwerking van persoonsgegevens met betrekking tot strafbare veroordelingen en feiten. De DPO moet een betrouwbaar, natuurlijk persoon zijn met voldoende kennis. Hij of zij moet onafhankelijk te werk gaan en mag geen instructies vanuit de organisatie krijgen. De DPO is belast met onder andere het informeren en adviseren van de organisatie over hun verplichtingen, het toezicht krijgen op naleving van de Europese Verordening en het optreden als contactpersoon.
De Wbp en jouw organisatie
De bescherming van persoonsgegevens begint in eerste instantie bij de persoon in kwestie. Hij of zij geeft gegevens af aan de organisatie, maar vervolgens is het de verantwoording van de organisatie om daar nauwkeurig mee om te gaan en beveiligen. Hoe zit het bij jouw organisatie? Is jouw organisatie compliant met de Wet bescherming persoonsgegevens? Hoef je niet te vrezen voor een boete van de AP of heb je behoefte aan een (interne of externe) DPO? Laat het ons weten via de poll!
Bron: Autoriteit Persoonsgegevens