Een goed begin is het halve werk
26 juli 2016
Sinds 1 januari 2016 is de Wet Meldplicht Datalekken van toepassing. De nieuwe meldplicht houdt in dat iedere inbreuk op de beveiliging van de bescherming van persoonsgegevens moet worden gemeld indien deze een aanzienlijke kans bevat, op ernstig nadelige gevolgen voor de benadeelde.
Veel gemeenten, andere overheden en private organisaties zijn druk met het implementeren van beveiligingsmaatregelen om voldoende aan de wet te kunnen conformeren. Met name de vrees voor de hoge boete, die de Autoriteit Persoonsgegevens inmiddels kan opleggen, samen met de reputatie schade die gepaard gaat met het doen van de melding zorgt ervoor dat men voldoende beveiligingsmaatregelen neemt om datalekken te voorkomen.
Met de toevoeging van het criterium ‘ernstig’ moet duidelijk gemaakt worden dat de Wbp een ondergrens kent, die bepaald wordt door de datalekken waarvoor een wettelijke meldplicht niet noodzakelijk is, omdat er geen of geringe gevolgen zijn voor de persoonlijke levenssfeer van de betrokkene. De Autoriteit komt daarmee in zijn beleidsregels tot een aantal aparte voorbeelden. Bijvoorbeeld, het achterlaten van je koffer in de trein. Als de koffer een deugdelijk slot bevat en terugkomt via ‘gevonden voorwerpen’, kunnen de gegevens niet leiden tot ernstige nadelige gevolgen. Het gaat om evidente gevallen waarbij met zekerheid kan worden uitgesloten, dat de onbevoegde derde toegang heeft verkregen tot de gegevens. Dit zijn echter voorbeelden die weinig te maken hebben met IT beveiligingsmiddelen en meer weg hebben van een ‘beveiligingslek’ dan van een ‘datalek’.
Voor organisaties is het lastig te bepalen of het datalek ernstig genoeg is. Onduidelijkheid rondom de meldplicht kan ten koste gaan van de effectieve werking ervan. Zeker in combinatie met de vrees voor de hoge bestuurlijke boete die organisaties riskeren, indien zij geen melding hebben gedaan.
Toch heeft de wetgever bewust voor de beperkte meldplicht gekozen om overbelasting van de Autoriteit Persoonsgegevens te voorkomen. Maar met het oog op de ruime meldplicht in de Europese Privacy Verordening, die de Wbp zal vervangen, is er ook in een andere mogelijkheid voorzien om overbelasting te voorkomen. Door meer aandacht te schenken aan de bewustwording bij medewerkers en bewerkers dat privacygevoelige gegevens goed moeten worden beschermd, creëert men een bepaalde beleefdheidsnorm, waardoor de naleving en controle makkelijker wordt. De Meldplicht wordt dan vrijwillig als gezaghebbend geaccepteerd.
Het is een goed begin dat de wet een voorbereiding is op de komende Europese Privacy verordening. De beperkte meldplicht lijkt, volgens de wetgever, voor nu de beste optie om de overbelasting van de Autoriteit Persoonsgegevens te voorkomen. Toch wordt op den duur de ruime meldplicht in de Europese Verordening van kracht. Ook dan is het belangrijk dat de Autoriteit Persoonsgegevens niet overbelast raakt. Dit kan bereikt worden door meer focus te leggen op bewustwording en bijvoorbeeld het verplicht instellen van een privacy officier. De Autoriteit Persoonsgegevens is dan minder belast met controle op de handhaving. Kortom, de goede voorbereiding is in dit geval zeker nog niet het halve werk.
Heeft u al voldoende beveiligingsmaatregelen genomen om een datalek te voorkomen? eGem biedt naast security oplossingen, op het gebied van connectiviteit (Diginetwerk), netwerk architectuur en veilig mail, ook een breed aanbod van beveiligingsoplossingen voor gemeenten. Hiervoor werken wij onder andere samen met AET Europe om logische en fysieke toegang te regelen met één pas, de eGem-ID pas. Bent u zich daarnaast voldoende bewust van de bescherming van privacygevoelige informatie? Ook op dit vlak kunt u bij ons terecht via onze dienst Security Awareness, en Security Life Cycle management. Bovendien nodigt eGem u graag uit voor de academy ‘practische handvaten om datalekken in overheidsland te voorkomen’. In deze workshop krijgt u praktische tips en tools om datalekken door menselijke fouten te voorkomen.
Maureen van Marle heeft haar bachelor Rechtsgeleerdheid gehaald aan de Universiteit van Amsterdam en gaat zich komend schooljaar specialiseren in ICT, recht en privacy. Ze is als juridisch adviseur betrokken bij eGem.
