NieuwsProfile

Privacywetgeving en het voorkomen van datalekken

By 31 maart 2016 No Comments

31 maart 2016

Er is veel te doen rondom de strijd tussen de FBI en Apple inzake het verkrijgen van toegang tot een iPhone van een terrorist. In dit conflict staat het beschermen van privacygevoelige informatie centraal. Hoe dient een organisatie om te gaan met privacybescherming en welke wettelijke verplichtingen zijn er? Wat als een datalek ontstaat en gevoelige gegevens naar buiten lekken?

In Nederland zijn de belangrijkste regels voor de bescherming van gevoelige gegevens vastgelegd in de Wet bescherming persoonsgegevens (Wbp). Zodra persoonsgegevens worden verzameld en gebruikt moeten de wettelijke regels van de Wbp worden nageleefd.

“De organisatie die persoonsgegevens verwerkt is verantwoordelijk voor de bescherming van deze gegevens en dient aan 6 verplichtingen te voldoen”

Persoonsgegevens zijn gegevens die informatie bevatten over een natuurlijke persoon en welke die persoon identificeerbaar maken. De organisatie die persoonsgegevens verwerkt is verantwoordelijk voor de bescherming van deze gegevens en dient aan de volgende 6 verplichtingen te voldoen:

1. Meldplicht verwerking persoonsgegevens
Zodra het verzamelen van gegevens van een klant verder gaat dan alleen het aanleggen van een klantenbestand, dient deze gegevensverzameling te worden gemeld bij de Autoriteit Persoonsgegevens. De melding wordt geregistreerd in het Openbaar Meldingenregister dat is te raadplegen op de website van de Autoriteit Persoonsgegevens.[1] In dit Openbaar Meldingenregister staat wat een organisatie met welke gegevens doet en aan wie de gegevens worden verstrekt.

U hoeft geen melding te maken van het verwerken van gegevens in het kader van personeels- en salarisadministratie of debiteuren en crediteuren. Het maken van een kopietje van het identiteitsbewijs van de klant moet wel worden gemeld!

2. Informatieplicht
Als persoonsgegevens worden verwerkt moet de betrokken persoon hiervan op de hoogte worden gesteld en worden geïnformeerd over het doel waarvoor deze persoonsgegevens worden verwerkt en de toelaatbaarheid hiervan. De verwerking van persoonsgegevens moet gebaseerd zijn op één van de grondslagen van de Wbp (uitgewerkt in artikel 8).

3. Kwaliteitsbewaking van gegevens
Met kwaliteitsbewaking wordt bedoeld dat er niet meer gegevens worden verzameld dan nodig is voor het doel. Daarnaast mogen bijzondere persoonsgegevens in beginsel niet worden verwerkt. Bijzondere persoonsgegevens zijn extra gevoelige gegevens. Dit zijn gegevens over godsdienst/levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging of strafrechtelijke persoonsgegevens.

4. Beveiliging
De persoonsgegevens moeten worden beveiligd tegen verlies, diefstal en ander onrechtmatig gebruik. De beveiliging moet passend zijn; hoe gevoeliger de gegevens, hoe zwaarder de beveiliging. Daarnaast moet de beveiliging erop toezien dat de gegevens niet toegankelijk zijn voor onbevoegden en moet de beveiliging adequaat zijn. Uiteraard dient de beveiliging periodiek te worden gecontroleerd of deze nog voldoet.

5. Meldplicht datalekken
Ondanks de beveiliging kan het voorkomen dat een datalek ontstaat waardoor gevoelige informatie naar buiten lekt. Sinds 1 januari 2016 is een organisatie verplicht een ernstig datalek onverwijld te melden aan de Autoriteit Persoonsgegevens. Een ernstig datalek is een lek waarbij een aanzienlijke kans bestaat op ernstige nadelige gevolgen of als het ernstige gevolgen hééft voor de bescherming van persoonsgegevens. Als er gevoelige persoonsgegevens zijn gelekt, zoals bijzondere persoonsgegevens, inloggegevens, financiële gegevens, moet een melding worden gemaakt bij de Autoriteit Persoonsgegevens.

Als het datalek waarschijnlijk ook ongunstige gevolgen zal hebben door de persoonlijke levenssfeer van de persoon waarvan de gegevens zijn gelekt, dient ook deze op de hoogte te worden gesteld van het datalek. Deze melding moet ook onverwijld plaatsvinden, zodat de betrokken persoon zo nodig voorzorgsmaatregelen kan treffen, bijvoorbeeld door het wijzigen van een wachtwoord.

6. Bewaartermijnen en vernietiging van gegevens
De verzamelde gegevens mogen niet langer worden bewaard dan noodzakelijk of wettelijk verplicht. Daarna moeten de gegevens worden vernietigd.

De Autoriteit Persoonsgegevens houdt toezicht op de naleving van privacywetgeving en kan zo nodig handhavende maatregelen treffen als hieraan niet wordt gehouden. Naast bovenstaande verplichtingen uit de Wbp kunnen nadere eisen en verplichtingen worden gesteld aan de gegevensbescherming. Zo zijn er voor verschillende branches specifieke gedragscodes opgesteld.

Neemt u gerust contact met ons op voor meer informatie over privacywetgeving.

Hanna Hoegee, hhoegee@bilt.nl

[1] https://autoriteitpersoonsgegevens.nl/nl/melden/melden-verwerking-persoonsgegevens