Sinds 2016 is de wet- en regelgeving op het gebied van Privacy en bescherming persoonsgegevens aangescherpt. Zo is er een meldplicht voor Datalekken (zie ook de pagina over datalekken), en zijn de boetes die je kunt krijgen als je de boel niet goed beveiligt opgelopen tot € 810.000, per overtreding. En vanaf mei 2018 gelden er nog strengere regels, omdat er dan een Europese wet van kracht wordt, de Algemene Verordening Gegevensbescherming (ook wel General Data Protection Regulation, oftewel GDPR genoemd).

Onze gegevens bewaren we in een webapplicatie…

…dus we bewaren zelf niets.

Slim bedacht, maar die vlieger gaat niet op, helaas.

Degene (de organisatie) die doel en middelen van de registratie bepaalt, is degene die Verantwoordelijk is. Met een hoofdletter, want het is echt een begrip dat er toe doet.

Als je bijvoorbeeld fysiotherapeut bent, of huisarts, dan moet je medische dossiers bijhouden. Dat gaat erg makkelijk met de diverse applicaties waar je met je browser op inlogt. Ook heel andere organisaties maken gebruik van webapplicaties om persoonsgegevens te bewaren. Een gastouderbureau moet ook dossiers aanleggen met persoonsgegevens. Ook dit gebeurt meestal in een webapplicatie. Vanuit het standpunt van de privacybescherming is er geen verschil tussen de medische dienstverlener en het gastouderbureau: er wordt door de dienstverlener gekozen voor een bepaalde weboplossing om persoonsgegevens te bewaren.

Verrassing!

En dat levert verrassende implicaties op. Je zou denken dat de bouwer van een webapplicatie verantwoordelijk is voor de beveiliging van de gegevens. En dat de bouwer in de problemen komt als er op het systeem wordt ingebroken.

Maar als jij kiest om persoonsgegevens op te slaan in een webapplicatie, dan ben jij er voor verantwoordelijk om dat te doen in een applicatie die veilig is. Ben je er niet heel erg zeker van dat een bepaalde applicatie veilig is? Dan moet je die maar niet gebruiken. Eigen keus!

Als je persoonsgegevens onveilig bewaart, of niet kunt aantonen dat je er zoveel mogelijk aan hebt gedaan om de gegevens veilig op te slaan en te bewaken, dan loop je in 2017 de kans op een boete van maximaal € 810.000. Per overtreding. Vanaf mei 2018 is de maximale boete verhoogd, als gevolg van de Europese wetgeving. De maximale boete is dan € 20.000.000 per overtreding. Voor de gemiddelde organisatie betekent dat dus simpelweg een faillissement…

Persoonlijke boete

… een faillissement als bedrijf? Had je kunnen weten dat je de persoonsgegevens gevaar liepen, hield je informatie bewust achter (bijvoorbeeld het feit dat er gegevens waren gelekt), dan kun je ook als persoon, of als werknemer deze boete krijgen.

Het verhaal gaat verder

Dit horrorverhaal gaat ver, heel ver. Volgens de AVP moet je vanaf 25 mei 2018 een Data Protection Impact Assessment (DPIA of PIA, een goede Nederlandse vertaling is nog niet bedacht) uitvoeren, als de persoonsgegevens die je verzamelt voor veel problemen kunnen zorgen als ze uitlekken. Omdat een paspoort, geboortedatum en bankrekeningnummer uitermate geschikt zijn voor identiteitsfraude, en dus een potentiële bron zijn voor veel problemen, loop je het risico om € 20.000.000 boete te krijgen wanneer je deze niet hebt uitgevoerd.

Wat moet ik doen?

Als je persoonsgegevens verwerkt (bewaart, gebruikt) moet je als organisatie goed nadenken of deze gegevens een hoog risico lopen. Verwerk je persoonsgegevens die iets zeggen over bijvoorbeeld medische, juridische, of financiële zaken? Ga er dan maar van uit dat je gegevens een hoog risico lopen. In dat geval moet je een PIA opstellen. Met onze QuickScan kunnen we je in een ochtendje helpen deze op te stellen.

Uit de resultaten komt naar voren, waar je nog aandacht aan moet geven. Meestal moet er nog het een en ander gedocumenteerd worden. Hiervoor hebben we een kleine set van sjablonen, waarmee je in een korte tijd de belangrijkste wettelijke verplichtingen nakomt.

Deze sjablonen dienen wel nog uitgewerkt te worden voor jouw organisatie. Door de structuur van de sjablonen valt het werk erg mee.

Wat betekent het als je te maken krijgt met een datalek? Lees verder…