Recentelijk is er een wetsvoorstel aangenomen waarmee de Wet Bescherming Persoonsgegevens zal worden aangepast. Deze wet treedt op 1–1–2016 in werking.

De wet heeft consequenties voor eigenaren en bewerkers van online applicaties die persoonsgegevens verzamelen. We praten je graag bij over welke consequenties dit precies zijn.

Meldplicht datalekken

Belangrijkste wijziging: met de wetswijzigingen wordt het verplicht om datalekken te melden en administreren. Dit betekent dat als er bijvoorbeeld een hack is geweest, of de beveiliging van de persoonsgegevens op een andere manier is gecompromitteerd, hier een rapport van gemaakt moet worden en in ieder geval het College Bescherming Persoonsgegevens (CPB) zal moeten worden ingelicht.

Ook kan het zijn dat “de betrokkenen” geïnformeerd zullen moeten worden. Het gaat hier om de personen van wie de persoonsgegevens zijn. Dit is bijvoorbeeld verplicht als het een ernstig datalek betreft en de openbaarmaking van de persoonsgegevens ernstige gevolgen voor die betrokkenen kunnen hebben.

Onze plicht

Met deze wijziging gaat er voor ons als bureau ook een meldplicht gelden. Dit betekent dat als wij een onregelmatigheid in de beveiliging zouden ontdekken die kan duiden op een datalek, we verplicht zijn dit te melden aan onze opdrachtgever en aan het CPB. Dit geldt voor systemen die we namens een klant beheren, de systemen van onze klanten of onze eigen systemen.

En dat is niet alles: ook voor ons geldt een administratieplicht. We zullen dus alle details van zo’n lek moeten opslaan en bewaren.

Dit maakt de samenwerking tussen ons als bureau en onze opdrachtgevers rondom eventuele datalekken een stuk transparanter. Aan beide kanten moet er over en weer worden geïnformeerd en geadministreerd. Het maakt het echter ook een stukje complexer. Er is bijvoorbeeld nog geen jurisprudentie en er zijn nog wel veel vraagtekens rondom wanneer de meldplicht nou wel of niet telt en wanneer betrokkenen moeten worden ingericht.

Wel is duidelijk dat wij nooit “de betrokkenen” hoeven inlichten. We gaan dus nooit in gesprek met klanten van opdrachtgevers. Dit is expliciet de verantwoordelijkheid van de opdrachtgever zelf.

Onze maatregelen

Op het gebied van de beveiliging van onze systemen hoeven we geen maatregelen te nemen op basis van deze wetswijziging; onze systemen worden aan alle kanten continu grondig beveiligd en gemonitord. Dat vinden wij niet alleen zelf, dat blijkt ook uit een recente audit, uitgevoerd door een extern bureau.

Dit betekent niet dat we een hack of ander beveiligingsrisico 100% kunnen uitsluiten. Dat kan geen enkele partij die met data werkt.

De wetswijziging betekent voor ons dat we een herzien protocol hebben klaarliggen in het geval van beveiligingsissues. We kunnen snel en goed toetsen welke consequenties de issue heeft en of aan de meldplicht en administratieplicht voldaan moet worden. Zodra dit aan de hand is, gaan hier de radartjes draaien en nemen we de geldende maatregelen.

Voor de volledigheid: wij zijn bij incidenten al gewend om te administreren en snel en zorgvuldig met onze opdrachtgevers te schakelen. In die zin heeft deze wetswijziging voor ons eigenlijk alleen de consequentie dat hier het CBP bijkomt in de communicatie.

Onze tips

Krijg je intern te maken met een datalek, hack of andere beveiligingsissue? Dan adviseren wij altijd direct een externe beveiligingsexpert in te schakelen om de oorzaak, maar vooral de consequenties in kaart te brengen. Dat is namelijk bepalend voor de te ondernemen stappen.

Voorkomen is nog altijd beter dan genezen. Laat daarom eigen systemen met regelmaat toetsen op kwetsbaarheden.

Omdat het wetsvoorstel zo nieuw is, zijn er nog veel vragen en onduidelijkheden rondom de uiteindelijke werking van de wet. In theorie zou de wetgeving namelijk ook kunnen gelden voor andere manieren waarop persoonsgegevens openbaar gemaakt zouden kunnen worden. Denk aan het verliezen of openbaar maken van wachtwoorden, het verliezen van een notitieboek of het onbeheerd achterlaten van een PC waardoor er toegang gekregen zou worden tot gevoelige gegevens. We adviseren daarom om publicaties rondom de wetgeving in de gaten te houden. Niet alleen de officiële bekendmakingen, maar ook de opniestukken die de wetgeving duiden. Dit geeft grip op en inzicht in de mogelijke consequenties voor je eigen organisatie.