Berntsen Mulder Advocaten logo

Afbeelding

Berntsen Mulder header afbeelding
21 juli 2015

Privacy alstublieft!

Stel, u bent webwinkelier. Dan krijgt u veel privacygevoelige informatie van uw klanten. Namen, mailadressen, telefoonnummers, wellicht zelfs rekeningnummers. Heeft u het beheer en de beveiliging van deze gegevens goed op orde? Hoe handelt u in het geval van een datalek, bijvoorbeeld door een aanval van hackers? De gevolgen kunnen groot zijn: alle privacygevoelige informatie komt op straat te liggen.

U bent verantwoordelijk voor deze gegevens. Wanneer het mis gaat, moet u dat vanaf 1 januari 2016 gaan melden. Dat is op 26 mei 2015 bij wet vastgelegd. Wanneer u een lek verzwijgt, kunt u een boete krijgen.

Het wetsvoorstel wijzigt zowel de Wet Bescherming Persoonsgegevens (Wbp) als de Telecommunicatiewet (Tw). Wat betekent de wetswijziging in de praktijk?

Meldplicht datalekken

Private en publieke organisaties die persoonsgegevens verwerken worden met ingang van 1 januari 2016 verplicht om inbreuken op de beveiliging te melden. Het gaat om bijvoorbeeld diefstal, verlies of misbruik van persoonsgegevens. Dat kan een groot bedrijf zijn dat per ongeluk een klantenbestand mailt, of een webwinkelier wiens klantenbestand wordt gehackt. En wat als een ambtenaar een USB-stickje met gegevens in de trein laat slingeren? Melden!

De melding moet direct worden gedaan bij het College Bescherming Persoonsgegevens (Cbp). Als het datalek daarnaast waarschijnlijk ook ongunstige gevolgen heeft voor de personen over wiens gegevens het gaat, dan moet ook bij hun een melding worden gedaan. In het voorbeeld van de webwinkelier moet deze dus ook het ‘lek’ melden bij zijn klanten.

Bewerkersovereenkomst

De wet heeft nog meer gevolgen die ingrijpender zijn dan je wellicht op het eerste gezicht denkt. Dan heb ik het over bewerkersovereenkomsten. Nooit van gehoord? Het is een overeenkomst tussen de verantwoordelijke voor de persoonsgegevens (bijvoorbeeld de eigenaar van de webwinkel) en de partij die deze gegevens verwerkt (bijvoorbeeld de websitebeheerder van de webwinkel). Deze wordt ‘de bewerker’ genoemd. Op dit moment is het sluiten van een bewerkersovereenkomst al een wettelijke verplichting.

Vanaf 1 januari 2016 moeten alle bewerkersovereenkomsten zijn aangepast aan de meldplicht datalekken. In de overeenkomsten moet een regeling zijn opgenomen over hoe er met een datalek en de meldplicht zal worden omgegaan.

Voor onze webwinkelier (verantwoordelijke) geldt dus dat hij in de overeenkomst met de webhost (bewerker) een passage zal moeten opnemen waarin de verplichtingen omtrent de meldplicht datalekken zijn geregeld.

Boetes tot 8 ton mogelijk...

Het Cbp krijgt aanzienlijk meer armslag bij de handhaving van de privacyregelgeving. Ben je stout? Dan dreigt een forse boete. De maximale boete bedraagt 810.000 euro, of 10 procent van de jaaromzet. Verder kan het Cbp in meer gevallen een bestuurlijke boete opleggen wegens overtreding van privacyregels. Het Cbp mag nu alleen een bestuurlijke boete opleggen bij een overtreding van een administratief voorschrift, bijvoorbeeld de verplichting om de verwerking van persoonsgegevens te melden.

Vanaf 1 januari 2016 kan het Cbp ook bij schending van meer algemene verplichtingen die de wet stelt aan gebruik en verwerking van persoonsgegevens boetes opleggen. Denk hierbij bijvoorbeeld aan:

  • Het niet op een behoorlijke en zorgvuldige manier verwerken van persoonsgegevens
  • Het niet op deugdelijke wijze organiseren van het beheer van de persoonsgegevens.

Onze webwinkelier moet dus alert zijn. Gaat er was mis? Direct melden!

Nederland loopt voor de muziek uit

Met de wetswijziging loopt Nederland voor de - Europese - muziek uit. De Wet Bescherming Persoonsgegevens gaat flink op de schop vanwege de General Data Protection Regulation (GDPR). De GDPR zal dé privacyregelgeving voor Europa worden. De GDPR omvat ook een meldplicht voor datalekken en voorziet in een aanzienlijke verruiming van de handhavingsmogelijkheden.

De Nederlandse regelgeving treedt eerder in werking dan de Europese regelgeving. Vooruitlopend daarop is het voor - onder meer - webwinkeliers zaak om hun bedrijfsvoering 'privacyproof' te maken. Regeren is immers vooruitzien...


Heeft u vragen over dit artikel?
Neem contact op met Mr. C. Teiwes (mail)
tel. 0172-424172

Dit artikel is geschreven door