De nieuwe richtlijn rondom datalekken heeft veel meer impact dan bedrijven zich realiseren, waarschuwen kenners in het FD. Met de nieuwe algemene verordening gegevensbescherming (AVG), die over een jaar wordt ingevoerd, kunnen bedrijven die hun databescherming niet op orde hebben, boetes krijgen tot € 20 miljoen. “Waarom is privacy geen vast onderdeel van het jaarverslag?”
De AVG wordt op 25 mei 2018 van kracht en is de implementatie van Europese regels op privacygebied. Daarin zijn strengere regels opgenomen dan in de Wet bescherming persoonsgegevens (WBP), die nu nu geldt. Datalekken waarbij persoonsgegevens zijn verloren of gestolen, moeten sneller gemeld worden en er kunnen eerder boetes worden uitgedeeld. Volgens Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, moeten bedrijven en overheden hun databescherming op een hoger plan brengen. “In de WBP moest er sprake zijn van opzet of grove schuld, deze bepaling verdwijnt. Beveiliging moet topprioriteit zijn”, zegt hij in het FD.
Nieuwe verplichtingen
De uitdaging voor bedrijven zit hem vooral in de nieuwe documentatieplicht en de verplichte privacy-administratie, zegt Diana Janssen, voorzitter van brancheorganisatie voor databasemarketeers DDMA. Van alle data moet bekend zijn waar ze vandaan komen, hoe ze beveiligd zijn en wie er toegang toe heeft. Voordat klanten worden benaderd, moet eerst een analyse worden gedaan van de impact op de privacy.
Burgers krijgen het recht om ‘vergeten’ te worden en data moet overgedragen kunnen worden bij het overstappen naar een andere leverancier. Het wordt daarnaast makkelijker om een klacht in te dienen bij de toezichthouder en inzage te krijgen in de data die over ze opgeslagen is.
Aparte functionaris
In de AVG is opgenomen dat bedrijven een functionaris gegevensbescherming (FG) moeten aanstellen. “Als je nog niet zo’n functionaris op het oog hebt, dan zou ik daar snel mee beginnen. Tegen mei 2018 zal de spoeling dun zijn”, aldus Janssen. De FG opereert onafhankelijk en kan minder makkelijk ontslagen worden. Binnen een bedrijf moet één persoon verantwoordelijk worden voor het melden van datalekken. Ondernemers moeten ieder geval kijken naar de bewerkersovereenkomsten van leveranciers, oude en overtollige data verwijderen en data zo veel mogelijk op één plek samen te brengen, adviseert Bastiaan Bakker van cybersecuritybedrijf Motiv.
Volgens Janssen wordt er in de top van bedrijven te weinig nagedacht over wat een bedrijf wil met data. “Het wordt te vaak overgelaten aan de marketing- en salesafdeling. Waarom maakt privacy niet naast duurzaamheid een vast onderdeel uit van het jaarverslag?”
Geef een reactie