Het College Bescherming Persoonsgegevens (CBP) gaat niet in op de oproep van brancheorganisatie Nederland ICT om bij de invoering van de meldplicht datalekken coulant te zijn. CBP maakte 9 december 2015 de definitieve versie van de beleidsregels bekend. Volgens Nederland ICT hebben ict-bedrijven te kort de tijd om die regels door te voeren in hun bedrijfsvoering.
Volgens de belangenorganisatie is voor ict-bedrijven drie weken te kort om het interne beleid en de contracten met andere bewerkers van persoonsgegevens op de definitieve beleidsregels af te stemmen. Het vindt die termijn veel te krap en rekent op coulance van het CBP in de handhaving van de wet.
Een woordvoerder van CBP reageert tegenover Computable: ‘We staan op 2 januari 2016 niet direct met boetes te zwaaien. Dat is ook niet de opzet van de meldplicht. De meldplicht moet zorgen dat bedrijven bewuster omgaan met de beveiliging van persoonsgegevens.’ De kritiek dat bedrijven maar drie weken de tijd hebben om de nieuwe regels te implementeren vindt ze niet terecht. ‘Het is natuurlijk niet zo dat we drie weken van te voren met iets nieuws komen.’ Ze verwijst naar de ‘Richtsnoeren beveiliging van persoonsgegevens’ die al begin 2013 zijn gepubliceerd.
Daarin staat hoe de toezichthouder bij het onderzoeken en beoordelen van beveiliging van persoonsgegevens de beveiligingsnormen uit de Wet bescherming persoonsgegevens (Wbp) toepast. Na consultatie van de markt is daar uiteindelijk op 9 december een 57-pagina tellend document voortgekomen met beleidsregels.
Wettekst
In reactie op de bekendmaking van de definitieve beleidsregels schreef de brancheorganisatie op 9 december: ‘De definitieve beleidsregels worden bij publiceren van dit bericht nog door ons bestudeerd. Op basis hiervan zullen we op korte termijn een voorbeeld bewerkersovereenkomst opstellen als handvat voor ict-bedrijven om hun afspraken met klanten op de nieuwe meldplicht te kunnen afstemmen.
De branchevereniging laat verder weten dat het de acties van de overheid om de bescherming van persoonsgegevens te verbeteren, steunt en telt dat de meldplicht daar een goed instrument voor kan zijn. ‘Dat vereist wel duidelijke regels en daarmee rechtszekerheid voor bedrijven. De wettekst bood deze duidelijkheid niet, maar zou verder uitgelegd worden in beleidsregels.’
Meldplicht
Alle bedrijven en overheden die persoonsgegevens verwerken op grond van de Wet bescherming persoonsgegevens (Wbp) zijn vanaf 1 januari 2016 verplicht om een ernstig datalek direct te melden aan de Autoriteit Persoonsgegevens, tot die tijd College bescherming persoonsgegevens (CBP) genaamd.
De autoriteit kan organisaties een boete geven als zij een datalek ten onrechte niet melden. De maximale boete is 820.000 euro. De beleidsregels zijn te downloaden op de website van het CBP.
Ik ben er van overtuigd dat het CBP allang een paar organisaties op de korrel heeft en deze eerder heeft gewaarschuwd. De eerste boetes zullen wellicht gegeven worden aan publieke organisaties zoals lokale overheden of aan ziekenhuizen. Dat zal de markt wakker schudden. Deze wet is al vele malen aangekondigd en wie zich daar nu nog niet op heeft voorbereid moet straks op de blaren zitten. Als je als gegevensverwerker lekt, dan ga je deze digitale tijd niet discreet genoeg om met gegevens en ben je deze gegevens niet waard. Er zijn nog steeds organisaties die denken dat een firewall afdoende is. En lekken hoeft niet enkel een gevolg te zijn van hacken. Neem gewoon alle maatregelen die je in een papieren bedrijfsvoering ook zou nemen. Dus preventie, detectie en calamiteiten respons.