‘Certificering goede voorbereiding op meldplicht datalekken’

De meldplicht datalekken is feitelijk een voorproefje van de nieuwe EU-privacyverordering. De meldplicht is een driedubbele meldplicht en kan leiden tot dubbele boetes. Er moet vooral rekening worden gehouden met boetes voor gebrekkig privacybeleid. Wanneer en aan wie moet je melden? En wat moet je doen om boetes te voorkomen?

Per 1 januari 2016 treden de aanpassingen van de Wet Bescherming Persoonsgegevens (WBP) in werking. De WBP geldt voor iedereen die beroeps- of bedrijfsmatig informatie over personen bijhoudt. Niet alleen wordt in de vernieuwde WBP voortaan een meldplicht datalekken geïntroduceerd. Ook de boetebevoegdheden van het College Bescherming Persoonsgegevens worden flink uitgebreid. Het CBP wordt in de wet omgedoopt tot ‘Autoriteit Persoonsgegevens’ (APg). Een boete kan oplopen tot 810.000 euro of anders maximaal 10% van de jaaromzet, als de APg een nog hogere boete passender vindt. Een APg-boete staat los van de overige kosten van privacyproblemen (reputatieschade, reparatie-inspanningen, individuele schadevergoeding, eventuele juridische kosten).

De aanduiding ‘meldplicht datalekken’ is niet de juridische term. In de wettekst wordt gesproken van een ‘inbreuk op de beveiliging’ wat een vertaling is van het Engelse security breach. Er moet sprake zijn van het doorbreken van informatiebeveiliging, van buitenaf (hackers) of van binnenuit – bijvoorbeeld omdat iemand, ondanks de beveiligingsafspraken, toch een koffertje met cliëntdossiers in de trein laat liggen. Wie in het geheel geen beveiliging heeft of zich daar veel te gemakkelijk vanaf heeft gemaakt, maakt het al helemaal te bont.

De meldplicht is een driedubbele meldplicht omdat óf moet worden gemeld aan de APg óf aan gedupeerden (waarbij advies moet worden gegeven over tegenmaatregelen) óf aan allebei. Het is belangrijk om aan de hand van privacy impact assessment op het incident, goed te bepalen óf en welke van de meldplichten van toepassing is. Want de WBP kent ook melddrempels: niet alles hoeft te worden gemeld. Daarnaast is er snelheid nodig, want de wet geeft aan dat meldingen ‘onverwijld’ moeten worden gedaan.

Het boeterisico is dubbel omdat op verzuim van een meldplicht al in aanmerking komt voor de hoogste boete. Maar vooral rijst de vraag of u ook in aanmerking komt voor een boete voor gebrekkig privacy management. Het datalek kan aanleiding geven tot onderzoek door de APg naar uw informatiebeveiligingsbeleid. Maar informatiebeveiliging is nog maar één van de tien kernverplichtingen van de WBP. Het APg-onderzoek kan zich daarom uitbreiden naar de andere kernverplichtingen, zoals onderzoek naar de ‘proportionaliteit’ van uw gegevensverwerking.

Bij good privacy governance valt u niets te verwijten, want u waarborgt dat gegevens steeds behoorlijk, zorgvuldig en in overeenstemming met de wet worden verwerkt. Good governance blijkt met name uit een coherente privacy management aanpak, de betrokkenheid van een Data Protection Officer (‘privacyaccountant’) conform het wettelijke profiel en informatiebeveiligingsbeleid dat is gebaseerd op ISO 27000.

Een eerste indicatie dat iemand geschikt is als DPO, is dat hij/zij gecertificeerd is door de internationale organisatie van privacy professionals IAPP. IAPP heeft een drietal certificeringen (CIPP/E, CIPM en CIPT) en worden erkend onder ISO 17024. Deze trainingen kunnen bij TSTC in Veenendaal gevolgd worden. TSTC is een gerenommeerd IT-opleidingsinstituut en erkend specialist in informatiebeveiliging en cybersecuritytrainingen.

CIPP/E training - Certified Information Privacy Professional Europe

CIPP/E is dé Europese standaard op het gebied van privacy certificering. Met een CIPP certificering toont u aan kennis te hebben van zowel globale als specifieke regionale wet- en regelgeving in privacy en dataprotectie. Hiermee onderscheidt u zich niet alleen van andere professionals maar toont uw organisatie tevens zijn betrokkenheid aan bij deze voor klanten belangrijke thema’s.

CIPM Certified Information Privacy Manager

CIPM is dé internationaal erkende certificering op het gebied van privacy management. Waar CIPP/E alles leert over Europese en lokale wet- en regelgeving, leert u in de CIPM training hoe u deze binnen een organisatie toepast in een privacy officer of manager rol. Dit maakt CIPM in combinatie met CIPP/E ook een geschikte keus wanneer u de rol van Functionaris Gegevensbescherming (FG) nastreeft.

CIPT Certified Information Privacy Technologist

CIPT is dé internationaal erkende certificering op het gebied van privacy voor technology professionals. Bij deze training leert u data privacy te beveiligen op alle niveaus van IT-product en service lifecycles.

TSTC is Official Training Partner van IAPP