Een bedrijf dat onzorgvuldig omgaat met persoonsgegevens, kan vanaf volgend jaar boetes tot één miljoen euro verwachten. De Europese Commissie werkt aan strengere regelgeving die de sanctiemogelijkheden van toezichthouders op het gebied van privacy enorm gaat vergroten.
Het College bescherming persoonsgegevens (CBP) kan nu bij uitzondering een boete opleggen van maximaal 4500 euro aan partijen die de Wet Bescherming persoonsgegevens (WBP) overtreden. De Europese privacy-verordening (EPV) spreekt van boetes tot één miljoen euro. Voor ondernemingen mogen deze zelfs oplopen tot 2 procent van de wereldwijde jaaromzet.
‘De huidige Nederlandse wet is relatief tandeloos, maar de EPV wordt een verordening met tanden,’ zegt ICT-jurist Arnoud Engelfriet van ICTRecht in dezelfde iTraction-whitepaper. ‘Daar zul je dus als organisatie op ingesteld moeten zijn.’ De EPV is op 12 maart 2014 aangenomen door het Europese Parlement, maar moet nog worden goedgekeurd door de Europese Raad van Ministers. De verordening wordt op zijn vroegst eind 2014 van kracht.
Schadeclaims van huurders
Bij diefstal van persoonsgegevens bestaat bovendien het risico dat huurders schadeclaims indienen. Er zijn allerlei manieren waarop zij schade kunnen ondervinden doordat persoonsgegevens gestolen worden, waaronder identiteitsfraude. Wanneer een crimineel zich uitgeeft voor een huurder zal het slachtoffer dat niet altijd meteen merken. ‘Soms komt de identiteitsfraude pas aan het licht wanneer het slachtoffer een aanmaning ontvangt voor een bestelling die nooit is gedaan,’ zegt manager Christian Prickaerts van het ‘Forensic Services’ team van Fox-IT in de iTraction-whitepaper.
‘Opslag persoonsgegevens tot een minimum beperken’
In dezelfde iTraction-whitepaper komt Arjan van Dijk aan het woord. Hij is expert op het gebied van de informatisering van woningbouwcorporaties. ‘IT is niet de core business van een woningbouwcorporatie,’ zegt Van Dijk. ‘Het is daardoor rationeel om het werkplekbeheer te laten uitvoeren door een partij die daarin wel gespecialiseerd is.’
Van Dijk is er groot voorstander van de hoeveelheid opgeslagen persoonsgegevens tot een minimum te beperken, ook in zijn rol als initiator en voorzitter van een Special Interest Group die zich bezighoudt met de Corporatie Referentie Architectuur (CORA). Deze beschrijft onder meer welke persoonsgegevens woningbouwcorporaties zouden moeten vastleggen en op welke manier.
Om dezelfde reden drong Van Dijk er in 2011 bij toenmalig Minister Donner van BZK op aan om te verhinderen dat de Belastingdienst, in verband met de verplichte jaarlijkse inkomenscheck, salarisgegevens zou verstrekken aan woningbouwcorporaties. ‘Woningbouwcorporaties moeten jaarlijks toetsen of huurders in aanmerking komen voor een extra huurverhoging. Dat gebeurt op grond van de inkomensgegevens die bekend zijn bij de Belastingdienst. Ik heb er op aangedrongen om deze inkomens-check zodanig te automatiseren dat woningbouwcorporaties alleen van de Belastingdienst te horen krijgen of het inkomen van huurders boven of onder de 43.000 euro per jaar ligt.’
Meer lezen over de risico’s van opslag van persoonsgegevens in de cloud? De whitepaper ‘3 grootste security valkuilen in de cloud‘ legt uit hoe het zit. De paper is een verkorte versie van het boek ‘5 valkuilen bij het afsluiten van cloudcontracten – en 9 adviezen om ze te vermijden’.
Wat je niet opslaat kan je ook niet verliezen.
De nieuwe Europese wetgeving (AVG, Algemene Verordening Gegevensbescherming) is er al in concept vanaf Januari 2012. Het definitief van kracht worden van deze nieuwe wetgeving is al een paar keer uitgesteld maar nog steeds dichtbij. De in het artikel genoemde bedragen en percentages zijn inmiddels aangepast. Niet naar beneden, trouwens! Eén van de zaken in de AVG is de “Wet Meldplicht Datalekken”, die bedrijven bij datalekken verplicht om binnen 48 uur te rapporteren aan het CBP. Ook hierbij zijn hoge (bestuurlijke!) boetes aangekondigd. Een “hang yourself” systeem, als je je zelf niet meldt dan doet de hacker het wel voor je! Het is zaak dat elke organisatie zich daarom voorbereid op de komst van deze wetgeving. Dat begint bij een inventarisatie van de aanwezige informatie. Veel organisaties hebben geen idee welke informatie er in de organisatie aanwezig is. Als je niet weet wat je hebt kun je het ook niet beschermen … Toch? Met vriendelijke groet, Rob Koch (Sebyde BV)