Wet bescherming persoonsgegevens; wat verandert er in 2016?

Geschreven door Redactie OGD
2 min leestijd
2-dec-2015 13:20:17

Informatiebeveiliging is een actueel ict-onderwerp. Bijna wekelijks zijn er in de media berichten te lezen over datalekken door onvoldoende beveiliging, waardoor persoonsgegevens op straat komen te liggen. In de praktijk blijkt dat de aandacht voor beveiliging nog tekortschiet. Daarom wordt per 1 januari 2016 de Wet meldplicht datalekken van kracht. De aanscherping van wet- en regelgeving zal in de nabije toekomst ook voor uw organisatie uitdagingen met zich meebrengen. Tijd om de belangrijkste veranderingen op te sommen.

Een paar belangrijke veranderingen op een rijtje

Allereerst veranderen er een aantal wetten inhoudelijk. De Wet meldplicht datalekken komt erbij en verandert de Wet bescherming persoonsgegevens (Wbp). Er wordt een meldplicht bij inbreuken op beveiligingsmaatregelen voor persoonsgegevens toegevoegd. Deze meldplicht geldt voor zowel private als publieke organisaties. Daarnaast komt er een algemene boetebevoegdheid voor overtreding van de Wbp. Deze boetebevoegdheid is altijd toegewezen aan het College bescherming persoonsgegevens (CBP). Dit college verandert overigens ook van naam: per 1 januari 2016 zal het verdergaan als Autoriteit Persoonsgegevens.

De nieuwe Wet voor meldplicht datalekken is bedoeld om datalekken zoveel mogelijk tegen te gaan. Bij een datalek gaat het om onbedoelde handelingen met persoonsgegevens, zoals onbedoelde toegang, vernietiging, wijziging of vrijgeving.

Bedrijven, scholen, overheden en andere organisaties worden verplicht een ernstig datalek direct te melden bij een toezichthouder CBP en alle betrokken moeten worden geïnformeerd. Voorbeelden hiervan zijn:

  • een kwijtgeraakte USB-stick
  • een gestolen laptop
  • een gehackt databestand

usb2

Belangrijke bepalingen van de Wbp

Met de Wet bescherming persoonsgegevens veranderen ook een aantal bepalingen en de bijbehorende boete. Zo kunnen overtredingen van onder meer onderstaande bepalingen leiden tot een boete:

  • Persoonsgegevens moeten op een zorgvuldige manier worden verwerkt en alleen in overeenstemming met de wet.
  • Persoonsgegevens mogen alleen voor gerechtvaardigde en welbepaalde doeleinden die vooraf uitdrukkelijk omschreven zijn worden verzameld.
  • De gegevensverwerking moet op een passende manier worden beveiligd. Extra strenge regels gelden voor bijzondere gegevens over bijvoorbeeld ras/etniciteit en gezondheid.

Inbreuken die leiden tot verlies, diefstal of misbruik van persoonsgegevens kunnen een bestuurlijke boete opleveren. Meldt u een datalek ten onrechte niet bij het CBP dan kan de boete na 1 januari 2016 zelfs oplopen tot €810.000. De mogelijkheid om boetes op te leggen tot 2 procent van de jaaromzet, zou vooral bij grote bedrijven als Google en Facebook nog eens een forse uitbreiding van de bevoegdheid betekenen.

Ruimte voor interpretatie

De Wbp met bijbehorende bepalingen en boetebeleid kunnen verstrekkende gevolgen hebben voor uw organisatie, zeker omdat datalekken veelvuldig voorkomen. In elke organisatie raakt iemand wel eens een usb-stick kwijt. Gelukkig heeft u dan niet direct een probleem: u hoeft alleen datalekken te melden wanneer een lek tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens leidt.

In een notendop

Zonder moeite een datalek voorkomen of afwikkelen is mogelijk, maar gaat niet vanzelf. De Wbp geeft aan dat er passende technische en organisatorische maatregelen genomen moeten worden. De boetes liegen er niet om: reden genoeg om adequate invulling te geven aan de nieuwe wettelijke vereisten. Wij vertellen u in onze volgende blogpost meer over mogelijke maatregelen die u kunt treffen.

Ontvang email updates