Management

Juridische zaken

ConflICT: Privacyrichtsnoer - een kijkje in de CBP-keuken

8 maart 2013

In deze richtsnoer benadrukt het CBP dat beveiligingslekken regelmatig voorkomen en dat bedrijven die persoonsgegevens verwerken alles in het werk moeten stellen om deze persoonsgegevens adequaat te beveiligen, zodat deze niet verloren gaan of in verkeerde handen terecht komen. Zoals de Wet Bescherming Persoonsgegevens (WBP) eist, moeten verantwoordelijken (degenen die persoonsgegevens verwerken) ‘passende technische en organisatorische maatregelen’ treffen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking.

In haar richtsnoer formuleert het CBP – in goed Nederlands – een mindset voor bedrijven die persoonsgegevens verwerken. Teneinde aan de eisen van de WBP te voldoen, zouden bedrijven die persoonsgegevens verwerken de zogenaamde ‘plan-do-check-act’-cyclus moeten hanteren. Dit betekent volgens het CBP het volgende:

  • Als bedrijf moet je tijdig inventariseren welke risico’s er verbonden zijn aan de wijze waarop de persoonsgegevens verwerkt worden, in combinatie met het soort persoonsgegevens dat verwerkt wordt. Aan de hand van deze risicoanalyse moet je als bedrijf bepalen welk beveiligingsniveau noodzakelijk is om de persoonsgegevens adequaat te beveiligen.
  • Zodra je als bedrijf beveiligingsmaatregelen gaat treffen, maak dan gebruik van algemeen geaccepteerde beveiligingsstandaarden.
  • Ook al heb je als bedrijf alles goed geregeld, controleer dan toch met enige regelmaat of de gekozen beveiligingsmaatregelen zijn getroffen en worden nageleefd.
  • Als blijkt dat de beveiliging toch beter moet of kan, denk aan nieuwe technologische ontwikkelingen, dan moet je als bedrijf aanpassingen treffen.

Betekent de richtsnoer van het CBP dat je als bedrijf dat persoonsgegevens verwerkt de getroffen beveiligingsmaatregelen moet aanpassen? Nee. Als je als bedrijf persoonsgegevens verwerkt en je hebt passende beveiligingsmaatregelen getroffen om deze persoonsgegevens te beveiligen, hoef je geen actie te ondernemen. Je voldoet namelijk aan de eisen die de wet stelt.

Waar je wel rekening mee moet houden, is dat deze richtsnoer een kijkje geeft in de keuken van het CBP. Als het CBP controleert of er passende beveiligingsmaatregelen zijn getroffen, dan zal zij nagaan 1) of de risico’s goed zijn geïnventariseerd en het adequate beveiligingsniveau is gekozen, 2) of er gebruik is gemaakt van algemeen geaccepteerde beveiligingsstandaarden, en 3) of de beveiligingsmaatregelen goed worden gehanteerd en waar nodig geüpdatet zijn. In die zin moet je als bedrijf gewoon aan de inhoud van de richtsnoer voldoen en is het bovendien verstandig om het beveiligingsbeleid goed te documenteren.

Ik maak hierbij gelijk de opmerking dat de soep (voorlopig nog) niet zo heet gegeten wordt als hij wordt opgediend. Het CBP heeft op dit moment – anders dan bijvoorbeeld de OPTA en de Consumentenautoriteit (die per april 2013 samen met de NMA de Autoriteit Consument en Markt gaan vormen) – nog maar weinig handhavingsinstrumenten om ervoor te zorgen dat de WBP daadwerkelijk wordt nageleefd. Voor zover uw beveiligingsmaatregelen nu nog niet – controleerbaar – op orde zijn, heeft u dus de tijd om dit alsnog goed te regelen.

Reden te meer om alles op privacygebied nu goed te regelen is de Algemene Data Protectie Verordening die waarschijnlijk in 2015 wordt aangenomen. Deze verordening brengt met zich mee dat er wel streng gehandhaafd kan worden door zeer hoge boetes op te leggen, bijvoorbeeld in de vorm van een percentage van de jaaromzet van uw bedrijf.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!