Informatieveiligheid en bescherming persoonsgegevens

“All human beings have three lives: public, private and secret.”
(Gabriel García Márquez)

Informatieveiligheid is essentieel om verantwoord een organisatie te runnen. Gegevens moeten immers veilig zijn opgeslagen, systemen mogen niet worden gehackt, cyber criminaliteit moet worden voorkomen en persoonsgegevens mogen slechts worden verwerkt volgens strikte voorschriften. Elke organisatie die persoonsgegevens verwerkt moet zich houden aan regels ter bescherming van de privacy. Bij tekortkomingen daarin of het optreden van datalekken kunnen flinke boetes worden opgelegd en kan ernstige reputatieschade optreden.

Ik kan organisaties helpen om de risico’s in beeld te brengen en daarop gericht maatregelen te nemen. Mijn uitdaging daarbij is het zoeken naar praktische en werkbare oplossingen, die niet of nauwelijks belemmerend werken, maar waarbij wel wordt voldaan aan de wet- en regelgeving van de Wet bescherming persoonsgegevens en vanaf 25 mei 2018 aan de Algemene verordening gegevensbescherming.

Juridische achtergrond
De bescherming van de persoonlijke levenssfeer is een grondrecht. Dit recht is geregeld in artikel 10 van de Grondwet, artikel 8 van het Europees Verdrag inzake de rechten van de mens en de fundamentele vrijheden (EVRM) en in artikel 17 van het Internationaal Verdrag inzake burgerrechten en politieke rechten (IVBPR). Deze 3 artikelen geven aan dat er een wet moet zijn voor de bescherming van persoonsgegevens, zodat ieders recht op privacy is gewaarborgd. De Wet bescherming persoonsgegevens (Wbp) schrijft voor dat persoonsgegevens goed moeten worden beschermd. In de Wbp zijn de belangrijkste regels voor de omgang met persoonsgegevens in Nederland vastgelegd. De belangrijkste bepalingen uit de Wbp over het rechtmatig omgaan met persoonsgegevens zijn als volgt samen te vatten:

  • persoonsgegevens mogen alleen in overeenstemming met de wet en op een behoorlijke en zorgvuldige manier worden verwerkt
  • persoonsgegevens mogen alleen voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en vervolgens alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn
  • degene van wie persoonsgegevens worden verwerkt (de betrokkene genoemd), moet ten minste op de hoogte zijn van de identiteit van de organisatie of persoon die deze persoonsgegevens verwerkt (de zogeheten verantwoordelijke) en van het doel van de gegevensverwerking
  • de gegevensverwerking moet op een passende manier worden beveiligd; voor bijzondere gegevens, zoals over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels

Per 25 mei 2018 is de Europese Algemene verordening gegevensbescherming (AVG) van toepassing. De AVG is rechtstreeks van toepassing in alle EU-lidstaten. Er geldt vanaf die datum dus nog maar één privacywet in de hele EU, in plaats van 28 verschillende nationale wetten. Alle organisaties die persoonsgegevens verwerken moeten tijdig de regelgeving, procedures en werkwijzen hebben aangepast aan de eisen van de AVG. Waar dat niet het geval is kunnen forse boetes worden opgelegd die in de miljoenen kunnen lopen. Die boetes kunnen ook worden opgelegd in het geval van een datalek. De vaak gebruikte Engelse term voor de AVG is de General Data Protection Regulation, afgekort tot GDPR.