‘Certificering goede voorbereiding op meldplicht datalekken’
De meldplicht datalekken is feitelijk een voorproefje van de nieuwe EU-privacyverordering. De meldplicht is een driedubbele meldplicht en kan leiden tot dubbele boetes. Er moet vooral rekening worden gehouden met boetes voor gebrekkig privacybeleid. Wanneer en aan wie moet je melden? En wat moet je doen om boetes te voorkomen?
Per 1 januari 2016 treden de aanpassingen van de Wet Bescherming Persoonsgegevens (WBP) in werking. De WBP geldt voor iedereen die beroeps- of bedrijfsmatig informatie over personen bijhoudt. Niet alleen wordt in de vernieuwde WBP voortaan een meldplicht datalekken geïntroduceerd. Ook de boetebevoegdheden van het College Bescherming Persoonsgegevens worden flink uitgebreid. Het CBP wordt in de wet omgedoopt tot ‘Autoriteit Persoonsgegevens’ (APg). Een boete kan oplopen tot 810.000 euro of anders maximaal 10% van de jaaromzet, als de APg een nog hogere boete passender vindt. Een APg-boete staat los van de overige kosten van privacyproblemen (reputatieschade, reparatie-inspanningen, individuele schadevergoeding, eventuele juridische kosten).
De aanduiding ‘meldplicht datalekken’ is niet de juridische term. In de wettekst wordt gesproken van een ‘inbreuk op de beveiliging’ wat een vertaling is van het Engelse security breach. Er moet sprake zijn van het doorbreken van informatiebeveiliging, van buitenaf (hackers) of van binnenuit – bijvoorbeeld omdat iemand, ondanks de beveiligingsafspraken, toch een koffertje met cliëntdossiers in de trein laat liggen. Wie in het geheel geen beveiliging heeft of zich daar veel te gemakkelijk vanaf heeft gemaakt, maakt het al helemaal te bont.
De meldplicht is een driedubbele meldplicht omdat óf moet worden gemeld aan de APg óf aan gedupeerden (waarbij advies moet worden gegeven over tegenmaatregelen) óf aan allebei. Het is belangrijk om aan de hand van privacy impact assessment op het incident, goed te bepalen óf en welke van de meldplichten van toepassing is. Want de WBP kent ook melddrempels: niet alles hoeft te worden gemeld. Daarnaast is er snelheid nodig, want de wet geeft aan dat meldingen ‘onverwijld’ moeten worden gedaan.
Het boeterisico is dubbel omdat op verzuim van een meldplicht al in aanmerking komt voor de hoogste boete. Maar vooral rijst de vraag of u ook in aanmerking komt voor een boete voor gebrekkig privacy management. Het datalek kan aanleiding geven tot onderzoek door de APg naar uw informatiebeveiligingsbeleid. Maar informatiebeveiliging is nog maar één van de tien kernverplichtingen van de WBP. Het APg-onderzoek kan zich daarom uitbreiden naar de andere kernverplichtingen, zoals onderzoek naar de ‘proportionaliteit’ van uw gegevensverwerking.
Bij good privacy governance valt u niets te verwijten, want u waarborgt dat gegevens steeds behoorlijk, zorgvuldig en in overeenstemming met de wet worden verwerkt. Good governance blijkt met name uit een coherente privacy management aanpak, de betrokkenheid van een Data Protection Officer (‘privacyaccountant’) conform het wettelijke profiel en informatiebeveiligingsbeleid dat is gebaseerd op ISO 27000.
Een eerste indicatie dat iemand geschikt is als DPO, is dat hij/zij gecertificeerd is door de internationale organisatie van privacy professionals IAPP. IAPP heeft een drietal certificeringen (CIPP/E, CIPM en CIPT) en worden erkend onder ISO 17024. Deze trainingen kunnen bij TSTC in Veenendaal gevolgd worden. TSTC is een gerenommeerd IT-opleidingsinstituut en erkend specialist in informatiebeveiliging en cybersecuritytrainingen.
CIPP/E training - Certified Information Privacy Professional Europe
CIPP/E is dé Europese standaard op het gebied van privacy certificering. Met een CIPP certificering toont u aan kennis te hebben van zowel globale als specifieke regionale wet- en regelgeving in privacy en dataprotectie. Hiermee onderscheidt u zich niet alleen van andere professionals maar toont uw organisatie tevens zijn betrokkenheid aan bij deze voor klanten belangrijke thema’s.
CIPM Certified Information Privacy Manager
CIPM is dé internationaal erkende certificering op het gebied van privacy management. Waar CIPP/E alles leert over Europese en lokale wet- en regelgeving, leert u in de CIPM training hoe u deze binnen een organisatie toepast in een privacy officer of manager rol. Dit maakt CIPM in combinatie met CIPP/E ook een geschikte keus wanneer u de rol van Functionaris Gegevensbescherming (FG) nastreeft.
CIPT Certified Information Privacy Technologist
CIPT is dé internationaal erkende certificering op het gebied van privacy voor technology professionals. Bij deze training leert u data privacy te beveiligen op alle niveaus van IT-product en service lifecycles.
TSTC is Official Training Partner van IAPP
Meer over
Lees ook
Sectigo introduceert CA-neutraal Certificate Lifecycle Management
Sectigo®, wereldwijd leverancier van digitale certificaten en geautomatiseerd Certificate Lifecycle Management (CLM), introduceert vandaag nieuwe functionaliteiten binnen Sectigo Certificate Manager (SCM). Daarmee groeit SCM uit tot een universeel platform waarmee ook publieke en private certificaten van andere certificaatautoriteiten (CA’s) kunne1
Kiwa en KPN Security: voorkom cyberaanval op slimme apparaten
Cybercriminelen vallen steeds vaker IoT-consumentenelektronica aan. Als het aan Kiwa en KPN Security ligt, komt hierin snel verandering. De twee bedrijven hebben hun expertises gecombineerd en helpen fabrikanten en leveranciers die hun IoT-consumentenelektronica onafhankelijk willen laten beoordelen en certificeren. Consumenten kunnen erop vertrou1
Extreme zet nieuwe standaard voor cloudnetwerksecurity en verbetert de bescherming van klantgegevens en -privacy
Extreme Networks, Inc. is de enige cloudnetwerkleverancier die over drie ISO-certificeringen beschikt voor het voldoen aan best practices en controlemiddelen op het gebied van information security management systems. ExtremeCloud™ IQ is daarmee het meest uitgebreid gecertificeerde cloudnetwerkmanagement-platform