‘Certificering goede voorbereiding op meldplicht datalekken’
De meldplicht datalekken is feitelijk een voorproefje van de nieuwe EU-privacyverordering. De meldplicht is een driedubbele meldplicht en kan leiden tot dubbele boetes. Er moet vooral rekening worden gehouden met boetes voor gebrekkig privacybeleid. Wanneer en aan wie moet je melden? En wat moet je doen om boetes te voorkomen?
Per 1 januari 2016 treden de aanpassingen van de Wet Bescherming Persoonsgegevens (WBP) in werking. De WBP geldt voor iedereen die beroeps- of bedrijfsmatig informatie over personen bijhoudt. Niet alleen wordt in de vernieuwde WBP voortaan een meldplicht datalekken geïntroduceerd. Ook de boetebevoegdheden van het College Bescherming Persoonsgegevens worden flink uitgebreid. Het CBP wordt in de wet omgedoopt tot ‘Autoriteit Persoonsgegevens’ (APg). Een boete kan oplopen tot 810.000 euro of anders maximaal 10% van de jaaromzet, als de APg een nog hogere boete passender vindt. Een APg-boete staat los van de overige kosten van privacyproblemen (reputatieschade, reparatie-inspanningen, individuele schadevergoeding, eventuele juridische kosten).
De aanduiding ‘meldplicht datalekken’ is niet de juridische term. In de wettekst wordt gesproken van een ‘inbreuk op de beveiliging’ wat een vertaling is van het Engelse security breach. Er moet sprake zijn van het doorbreken van informatiebeveiliging, van buitenaf (hackers) of van binnenuit – bijvoorbeeld omdat iemand, ondanks de beveiligingsafspraken, toch een koffertje met cliëntdossiers in de trein laat liggen. Wie in het geheel geen beveiliging heeft of zich daar veel te gemakkelijk vanaf heeft gemaakt, maakt het al helemaal te bont.
De meldplicht is een driedubbele meldplicht omdat óf moet worden gemeld aan de APg óf aan gedupeerden (waarbij advies moet worden gegeven over tegenmaatregelen) óf aan allebei. Het is belangrijk om aan de hand van privacy impact assessment op het incident, goed te bepalen óf en welke van de meldplichten van toepassing is. Want de WBP kent ook melddrempels: niet alles hoeft te worden gemeld. Daarnaast is er snelheid nodig, want de wet geeft aan dat meldingen ‘onverwijld’ moeten worden gedaan.
Het boeterisico is dubbel omdat op verzuim van een meldplicht al in aanmerking komt voor de hoogste boete. Maar vooral rijst de vraag of u ook in aanmerking komt voor een boete voor gebrekkig privacy management. Het datalek kan aanleiding geven tot onderzoek door de APg naar uw informatiebeveiligingsbeleid. Maar informatiebeveiliging is nog maar één van de tien kernverplichtingen van de WBP. Het APg-onderzoek kan zich daarom uitbreiden naar de andere kernverplichtingen, zoals onderzoek naar de ‘proportionaliteit’ van uw gegevensverwerking.
Bij good privacy governance valt u niets te verwijten, want u waarborgt dat gegevens steeds behoorlijk, zorgvuldig en in overeenstemming met de wet worden verwerkt. Good governance blijkt met name uit een coherente privacy management aanpak, de betrokkenheid van een Data Protection Officer (‘privacyaccountant’) conform het wettelijke profiel en informatiebeveiligingsbeleid dat is gebaseerd op ISO 27000.
Een eerste indicatie dat iemand geschikt is als DPO, is dat hij/zij gecertificeerd is door de internationale organisatie van privacy professionals IAPP. IAPP heeft een drietal certificeringen (CIPP/E, CIPM en CIPT) en worden erkend onder ISO 17024. Deze trainingen kunnen bij TSTC in Veenendaal gevolgd worden. TSTC is een gerenommeerd IT-opleidingsinstituut en erkend specialist in informatiebeveiliging en cybersecuritytrainingen.
CIPP/E training - Certified Information Privacy Professional Europe
CIPP/E is dé Europese standaard op het gebied van privacy certificering. Met een CIPP certificering toont u aan kennis te hebben van zowel globale als specifieke regionale wet- en regelgeving in privacy en dataprotectie. Hiermee onderscheidt u zich niet alleen van andere professionals maar toont uw organisatie tevens zijn betrokkenheid aan bij deze voor klanten belangrijke thema’s.
CIPM Certified Information Privacy Manager
CIPM is dé internationaal erkende certificering op het gebied van privacy management. Waar CIPP/E alles leert over Europese en lokale wet- en regelgeving, leert u in de CIPM training hoe u deze binnen een organisatie toepast in een privacy officer of manager rol. Dit maakt CIPM in combinatie met CIPP/E ook een geschikte keus wanneer u de rol van Functionaris Gegevensbescherming (FG) nastreeft.
CIPT Certified Information Privacy Technologist
CIPT is dé internationaal erkende certificering op het gebied van privacy voor technology professionals. Bij deze training leert u data privacy te beveiligen op alle niveaus van IT-product en service lifecycles.
TSTC is Official Training Partner van IAPP
Meer over
Lees ook
Commentaar geven op normontwerp NEN 7503 voor gegevensuitwisseling in de zorg
NEN 7503:2021 ‘Gegevensuitwisseling in de zorg – Elektronische verwerking en uitwisseling van gegevens voor het voorschrijven en ter hand stellen van medicatie’ is herzien. NEN 7503 vormt de basis waarmee informatiesystemen zullen worden gecertificeerd om aan de eisen van het wetsvoorstel voor de elektronische gegevensuitwisseling in de zorg (Wegi1
Cryptshare en Spryng kondigen samenwerking aan
SMS gateway provider Spryng en Cryptshare, maker van versleutelde communicatie oplossingen, zijn verheugd om hun nieuwe technologische samenwerking aan te kondigen. Door de SMS-gateway te verbinden met Cryptshare zijn wachtwoorden voor versleutelde e-mails en bestanden op een gebruiksvriendelijke manier via SMS te verzenden
NEN lanceert keurmerk op basis van internationale privacy norm ISO/IEC 27701
Op 16 december 2020 lanceert NEN het keurmerk voor privacy informatie management. Dit keurmerk wordt afgegeven aan organisaties die voldoen aan de eisen uit de norm ISO/IEC 27701. De eisen voor onafhankelijke beoordeling door certificerende instellingen zijn vastgelegd in het certificatieschema NCS 27701