Auteur: Ad Schaafsma, Security Consultant bij Axians

Sinds de invoering van de Wet Meldplicht Datalekken is het rond ICT en privacy niet meer stil geworden. In een eerdere blogreeks van mijn hand hebben wij je veel (nog steeds actuele) informatie gegeven over de stand van zaken vanaf begin 2016. Ook tijdens onze klantendag ‘Innovations to Success’ op 17 november jongstleden hebben we aan ICT en privacy veel aandacht besteed. We gaven daar inzicht in de General Data Protection Regulation (GDPR) die vanaf medio 2018 onze eigen oude Wet Bescherming Persoonsgegevens (WBP) vervangt.

De toezichthouder, de Autoriteit Persoonsgegevens, is sinds 2016 druk bezig om zichzelf en het veld voor te sorteren op de nieuwe normen van de GDPR. Er verandert namelijk nogal wat! Zonder op alle details in te gaan springen daar een paar heel belangrijke dingen uit. Bijvoorbeeld dat je organisatie moet kunnen aantonen aan de verplichtingen uit de GDPR te voldoen, zoals het hebben van voldoende (passende) beveiligingsmaatregelen. Of dat je een overzicht van al je verwerkingen waarbij persoonsgegevens een rol spelen moet hebben en bijhouden. Wellicht moet je zelfs, anders dan nu het geval is, een eigen interne toezichthouder aanstellen: de Functionaris Persoonsgegevens (FG).

Beleidsagenda Autoriteit Persoonsgegevens 2017

In het begin van elk jaar publiceert de Autoriteit Persoonsgegevens de ‘beleidsagenda’ voor het komende jaar. Waar gaat de toezichthouder in het bijzonder tijd en aandacht aan besteden? In welke situaties kun je wellicht op meer dan bijzondere belangstelling, met alle consequenties van dien, van de toezichthouder rekenen? Vergeet niet dat sinds 2016 de Autoriteit Persoonsgegevens een stevige stok achter de deur heeft staan, zelfs al is die stok in Nederland nog niet gehanteerd. De moeite waard dus om met die agenda rekening te houden.

Voor 2017 gaat de Autoriteit Persoonsgegevens in het bijzonder kijken naar: de nieuwe EU wetgeving (de GDPR maar ook Privacy Shield, bindende bedrijfsovereenkomsten et cetera); profilering (daar kunnen bijvoorbeeld cameratoezicht maar ook Internet tracking en tracing onder vallen); verwerking van bijzondere persoonsgegevens (denk aan care en cure, onderwijs, WMO en het strafrechtelijk domein); en last but not least de beveiliging van persoonsgegevens. De toezichthouder kijkt extra kritisch naar de naleving van de formele wettelijke bepalingen (‘wat mag wel, wat mag niet en met welke gegevens’) én kijkt extra kritisch naar de beveiliging (‘de bescherming tegen onbevoegde inzage of doorgifte’).

Voorbereid zijn op kritische vragen van klanten

De toezichthouder zal tijd en aandacht steken in voorlichting over de nieuwe wetgeving, zodat burgers (wellicht klanten van je organisatie) zich bewust zijn van hun rechten. En zal bedrijven en overheden vertellen wat zij moeten weten om straks aan de nieuwe wetgeving te voldoen. Dat betekent dat je meer dan voorheen kritische vragen en opmerkingen van klanten, cliënten, patiënten, medewerkers, ZZP’ers, leveranciers enzovoort kunt verwachten over hoe je met hún persoonsgegevens omgaat. Heb je straks (medio 2018) de organisatie hierop ingericht?

Daarnaast blijft de Autoriteit Persoonsgegevens de meldplicht datalekken handhaven. Weet je dat over 2016 meer dan 5000 datalekken zijn gemeld en dat daarvan tientallen ernstig genoeg waren om verder onderzoek naar te doen? Er is blijkbaar nog veel te doen, en Axians helpt u daar graag bij. Met actuele kennis van de wet, van de gangbare normen en van de technologieën die toonaangevende fabrikanten op de markt aanbieden. We nodigen je graag uit voor een gedachtewisseling hierover. Neem direct contact met ons op via het formulier rechts hiernaast of ga naar https://www.axians.nl/security voor meer informatie.