Door Herman Braam, 6 september 2013.
De komende jaren breidt de privacywetgeving behoorlijk uit. Het toezicht wordt scherper. Boetes kunnen oplopen tot bijna een half miljoen euro per overtreding. Veel organisaties hebben de bescherming van hun persoonsgegevens nog niet op orde, blijkt uit een steekproef.
Recent heb ik onderzocht in hoeverre organisaties met hun websites voldoen aan de privacy wetgeving. Met behulp van steekproeven zijn de websites van accountants- en advocatenkantoren tegen het licht gehouden. In het merendeel van de gevallen voldoen de sites op dit moment nog niet aan voorwaarden die de wet bescherming persoonsgegeven stelt. De NBA (Nederlandse Beroepsorganisatie van Accountants) heeft mij gevraagd dit in een interview toe te lichten. Dit heeft het volgende artikel in “de Accountant” (het vakblad van de NBA) opgeleverd:
De komende jaren breidt de privacywetgeving behoorlijk uit. Het toezicht wordt scherper. Boetes kunnen oplopen tot bijna een half miljoen euro per overtreding. Net als veel bedrijven hebben ook accountantskantoren de bescherming van hun persoonsgegevens nog niet op orde, blijkt uit een steekproef.
“Het huidige klimaat van vrijblijvendheid dat nu nog de
privacywetgeving omgeeft, zal in de toekomst behoorlijk veranderen”,
aldus Herman Braam, privacyspecialist van het bureau Privyon en
voormalig medewerker van Deloitte.
“De bevoegdheden van het
College Bescherming Persoonsgegevens worden veel groter”, zegt Braam.
“Het imago van deze instantie zal daardoor flink veranderen. Die kun je
straks vergelijken met die van de Opta, de telecomwaakhond die de
afgelopen jaren flinke boetes oplegde aan telecombedrijven die zich niet
aan de regels hielden.”
De maximale boetes kunnen straks oplopen
tot 450.000 euro per overtreding. Dat is honderd keer zo veel als de
hoogste boete die nu kan worden opgelegd. Als de Europese regels zijn
ingevoerd worden zelfs boetes mogelijk ter waarde van twee procent van
de bedrijfsomzet.
Braam baseert zijn verwachtingen op de
vernieuwing van de wetgeving over privacy, die uitgebreid gaat worden
met de meldplicht datalekken. In juni heeft staatssecretaris Teeven van
Veiligheid en Justitie daartoe een wetsvoorstel ingediend bij de Tweede Kamer.
Het wetsvoorstel sluit aan bij een Europese verordening
voor bescherming van persoonsgegevens die in de maak is. De door Europa
opgelegde regelgeving komt op zijn vroegst in 2014, hoewel een jaar
later ook mogelijk is. Toch twijfelt niemand eraan dat de regelgeving
wordt ingevoerd in Nederland. De huidige wetswijziging speelt al in op
de nieuwe Europese bepalingen.
“Als je persoonsgegevens
verzamelt, moet je als organisatie passende maatregelen nemen om die te
beschermen. Een van de maatregelen is encryptie, het versleutelen van de
informatie. Het transport van de persoonsgegevens moet plaatsvinden via
een beveiligde verbinding.”
“Dan is er nog de informatieplicht
richting de mensen van wie je persoonsgegevens vastlegt. Je bent
bijvoorbeeld verplicht om te vertellen welke informatie je vastlegt, hoe
lang je dat doet en met wie je de data deelt.”
“Die plichten
zijn nu ook al vastgelegd in de Wet bescherming persoonsgegevens. Maar
na de wetswijziging zal er naar verwachting scherper op worden
toegezien. Er kunnen ook zwaardere sancties worden opgelegd voor
overtredingen.”
“Daarnaast komt er een verplichting om datalekken
te melden als die nadelig kunnen zijn voor de bescherming van
persoonsgegevens. Die verplichting is nieuw.”
Braam denkt dat
accountantskantoren nog niet klaar zijn voor deze strengere regels. Bij
een steekproef onder twintig accountantskantoren merkte hij dat meer dan
negentig procent niet voldeed aan de eisen.
“Dan gaat het over
beveiliging van websites en de informatieplicht over persoonsgegevens
die via websites worden verzameld, daar heb ik naar gekeken. Denk aan
persoonsgegevens die je online verzamelt voor het versturen van
nieuwsbrieven, het opsturen van informatie, het vastleggen van
contactgegevens of het invullen van online sollicitatieformulieren.”
“In
verreweg de meeste gevallen viel niet te zien dat de kantoren
voorzieningen hadden getroffen om mensen te informeren over wat er met
hun persoonsgegevens gebeurt. Je hoeft niet iedereen bericht te sturen,
je kunt volstaan met een privacyverklaring op je website.”
“Die
moet wel zodanig zijn dat die gemakkelijk te vinden en te begrijpen is.
Ik kwam bijvoorbeeld een privacyverklaring tegen die in het Engels was
opgesteld. Die is niet toegankelijk genoeg.”
Ook de beveiliging
van persoonsgegevens is nog ondermaats bij accountantskantoren, aldus
Braam. Beveiligd transport van de informatie is te herkennen aan een
groen slotje op het scherm. “Als dat er niet is, voldoe je niet aan de
regels”, constateert Braam.
Ondanks de potentiële dreiging van
boetes zijn ingrijpende maatregelen niet nodig om aan de regels te
voldoen, aldus Braam. “In veel gevallen zijn zware veranderingen in de
systemen niet nodig. Voor een paar honderd euro per jaar kun je
persoonsgegevens al beveiligen. De wet spreekt over passende
beveiliging, niet over complete beveiliging.”
Over de auteur: Herman Braam is oprichter en eigenaar van Privyon.
Specialist in vraagstukken op het snijvlak van IT en privacy. Helpt organisaties te voldoen aan de privacywetgeving
Contact via hbraam@privyon.nl of LinkedIn.