Inleiding WBP

De Wet Bescherming Persoonsgegevens (WBP) is sinds 2001 van toepassing. Deze wet moet er voor zorgen dat persoonsgegevens alleen in overeenstemming met de wet worden verzameld en verwerkt. Daarbij moet het verzamelen verenigbaar zijn met het doel. Organisaties die persoonsgegevens opslaan dienen hiervan een melding te maken bij het CBP en dienen deze gegevens passend te beveiligen.

Passende beveiliging?

De WBP zegt dat gegevens op een passende manier moeten worden beveiligd, maar wat is dit eigenlijk en hoe vertaald zich dit in de praktijk? Vroeger was hiervoor de algemene verkenning – AV23 geschreven. Dit document maakte een verdieping zelfs richting technisch niveau. Dit document is vervangen door het document CBP richtsnoeren – Beveiliging van persoonsgegevens: https://cbpweb.nl/nl/over-privacy/persoonsgegevens/beveiliging-van-persoonsgegevens

In dit nieuwe document geeft het CBP uitgebreide uitleg wat gezien wordt als passende beveiliging. Dit wordt met concrete praktijkvoorbeelden ondersteund en toegelicht. Het document is grotendeels opgebouwd op basis van de code voor informatiebeveiliging (NEN7510 / ISO27001). Ook andere standaarden als PCI-DSS en bijvoorbeeld de richtlijnen web applicaties van het NCSC worden genoemd.

Dit document zegt in het kort dat er een continue proces van verbetering aanwezig moet zijn. Risico’s dienen te worden geïdentificeerd en maatregelen hierop afgestemd. Dit continue verbeterproces dient ook aantoonbaar geborgd te zijn in de organisatie.

In het document worden eveneens voorbeelden genoemd waarop het CBP zou kunnen controleren of informatiebeveiliging in relatie tot de persoonsgegevens die een organisatie gebruikt in voldoende mate zijn geborgd.

Verantwoordelijke en bewerker

De Wet Bescherming Persoonsgegevens kent een verantwoordelijke en een bewerker. De verantwoordelijks is de partij die de gegevens verzameld en gebruikt voor haar bedrijfsdoel. Bij uitbesteding van IT is er dan ook een bewerker aan te wijzen. Dit is de IT partij die het beheer voor haar rekening neemt. In het geval van uitbesteding dient de verantwoordelijke eisen te stellen aan de maatregelen die de bewerker gerealiseerd zal moeten hebben.

Uitbreiding WBP met meldplicht datalekken

Per 01-01-2016 komt er een uitbreiding op de Wet Bescherming Persoonsgegevens (WBP). In geval van een data lek moet dit gemeld worden bij het CBP en moeten de personen die het betrof geïnformeerd worden. Het niet melden van een lek kan leiden tot hoge boetes. De maximale boete kan zelfs oplopen tot € 810.000.

Verwachting

Op basis van deze meldplicht is mijn verwachting dat het CBP gerichter controles zou kunnen gaan uitvoeren. Daarmee wordt het voor de verantwoordelijke van de persoonsgegevens en de bewerker steeds belangrijker om informatiebeveiliging geïmplementeerd, maar ook geborgd te hebben binnen de organisatie.  Mocht er een lek ontstaan dan kan de organisatie in ieder geval laten zien dat de deze haar verplichting is nagekomen om lekken te voorkomen.

Op dit moment van schrijven zie ik twee issues met de uitbreiding ten aanzien van data lekken. Het zouden wel eens heel veel meldingen kunnen worden. Om het zekere voor het onzekere te nemen, gezien het risico van de hoge boetes, kan ik me voorstellen dat organisaties heel veel gaan melden. Ik vraag ik me af of het CBP daamee geen stortvloed aan meldingen op zich afroept. Daarnaast is de vraag wat dan precies een data lek is. In een aantal gevallen zal dit duidelijk zijn, maar ik kan mij ook situaties voorstellen waar dit niet zo gemakkelijk aan te geven is.