Meldplicht Datalekken, wat verandert volgend jaar?

Wat houdt de Wet Datalekken in en wat verandert in mei 2018?

Dinsdag 16 mei organiseerde Unica Schutte ICT in samenwerking met JPR Advocaten een kennissessie over de wet Meldplicht Datalekken en de wijzigingen die komend jaar definitief zijn.

Het leuke van de sessie is de samenwerking tussen de techniek en de wet. In de sessie vertelt Unica hoe klanten omgaan met de regelgeving en JPR legt uit welke kaders de wet aangeeft.

In de sessie was duidelijk dat veel organisaties worstelen met het thema, en is ook duidelijk dat afnemers van digitale diensten nog niet goed voorbereid zijn op hun verantwoordelijkheid.

Unica Schutte vertelt een stuk geschiedenis van wet. Vervolgens een stuk over de maatregelen die organisaties nemen. Een detail om te onthouden is dat techniek niet de eerste oplossing is, maar personeelsbeleid is de eerste verdediging tegen datalekken en veiligheidsincidenten. Natuurlijk is een belangrijk aspect de rol van de Service Provider in het proces van de meldplicht datalekken.

De concrete aanbeveling van Unica Schutte is dat je moet nadenken over beleid rondom persoonsgegevens in de vorm van ISO27001 certificering of Privacy Impact Analyses.

JPR Advocaten vertelt met name over de juridische kaders van de wet en vult aan wat Unica Schutte vertelt en markeert de kaders en processen van de wet. De Europese verordening die nu nog in overgang is, is in mei 2018 definitief. Dat betekent dat alle organisaties die met persoonsgegevens werken moeten kunnen laten zien welke gegevens waar staan en wat ermee gebeurt, in de hele keten. Ook de Bewerkersovereenkomst wordt kritisch behandeld.

Na deze presentatie is duidelijk dat alle bedrijven moeten opschieten omdat mei 2018 snel komt en alle bedrijven (ook kleine) gegevens hebben die onder de verordening vallen. Dit is een typisch onderwerp van voorkomen is beter dan genezen.

Een selectie vragen die tijdens de sessie behandeld zijn:

  • Welke persoonsgegevens heeft jouw organisatie?
  • Hoe worden die gegevens gebruikt?
  • Welke classificatie hebben de gegevens?
  • Hoe worden de gegevens verder verwerkt?
  • Heb je bewerkingsovereenkomsten nodig?
  • Heb je samenwerkingsovereenkomsten nodig?
  • Welke boetes kun je krijgen bij het lekken van persoonsgegevens?

Niet alle vragen zijn tijdens de sessie te beantwoorden, maar ik heb wel weer een leuke set gereedschap meegekregen om jouw organisatie te adviseren over de technische gevolgen van de nieuwe wet.

Naar aanleiding van de sessie zou ik je willen uitdagen om na te denken over de situaties die ik ben tegengekomen de afgelopen dagen;

  • De belastingdienst kent BTW nummers toe op basis van BSN nummers. Alle eigenaren van KvK ingeschreven organisaties met een BTW nummer zijn op die manier gevoelig voor identiteitsfraude. Zou de Autoriteit Persoonsgegevens of de Nationale Ombudsman een bindende aanwijzing moeten geven aan de belastingdienst?
  • De overheid, in het bijzonder gemeenten, hebben de neiging te vragen naar een BSN nummer voor bijeenkomsten, correspondentienummers en dergelijke. Als commercieel bedrijf pleeg je een misdrijf als je dat doet. Ik vind dat overheidsinstanties ook het gebruik van BSN nummers in communicatie moeten beperken. Hoe kijk jij daartegenaan?

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *