raad + daad

FUNCTIONARIS GEGEVENSBESCHERMING NODIG?

Met de invoering van de Algemene Verordening Gegevensbescherming (AVG) per 25 mei 2018 doet ook de rol van Functionaris Gegevensbescherming (FG) zijn intrede. Dat is de interne toezichthouder op de verwerking van persoonsgegevens. Elke organisatie mag een FG aanstellen; voor een aantal categorieën (overheid & publieke organisaties of betrokken bij grootschalige profilering dan wel verwerking van bijzondere persoonsgegevens, zoals ras/gezondheid/geloof/…) is het zelfs verplicht.

De werkzaamheden van een FG kunnen onder meer zijn:

• toezicht houden;
• inventarisaties van gegevensverwerkingen maken en meldingen bijhouden;
• vragen en klachten van mensen binnen en buiten de organisatie afhandelen;
• interne regelingen ontwikkelen;
• adviseren over technologie en beveiliging (privacy by design);
• input leveren bij het opstellen of aanpassen van een gedragscode.

Dat is een hele lijst, maar bij veel MKB-organisaties is dat natuurlijk bij lange na geen grote taakomvang. En dus is dan niet aantrekkelijk om er iemand voor aan te trekken, of op te leiden. En dat nog los van het feit dat de wetgever – naast kennis van regelgeving, ICT en beveiliging – ook een zekere mate van onafhankelijkheid verwacht in het functioneren van de FG.

Raad + Daad kan hierin nu een oplossing bieden. Ons certificaat van de Leergang “Functionaris Gegevensbescherming” bij IT Academy Noord-Nederland laat zien dat wij meer dan voldoende geïnformeerd zijn over deze materie. Een aantal organisaties hebben ons al ingeschakeld als FG. Concreet houdt dat om te beginnen in het uitvoeren van een beknopte check of aan de eisen van de AVG is voldaan en daarnaast maken we afspraken over hoe de FG in voorkomende gevallen kan worden ingeroepen.

Dan is dat maar weer geregeld!

1 JAAR MELDPLICHT DATALEKKEN

Sinds 1 januari 2016 is het in Nederland verplicht datalekken te melden bij de Autoriteit Persoonsgegevens (AP). We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker. Een datalek moet bij de AP gemeld worden als het “leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”.

En gebeurt dat nu vaak? Nee. Het aantal meldingen voor geheel 2016 bedroeg minder dan 6000 stuks. Dus lang niet alle datalekken worden gemeld. Want alleen al het aantal verkeerd geadresseerde e-mails met daarin persoonsgegevens moet een veelvoud hiervan bedragen en dan hebben we het nog niet over de verloren usb-sticks, laptops en dossiers. Bij de AP werken overigens maar enkele tientallen mensen dus die hebben hier ook al de handen vol aan. Wat heeft de AP in 2016 met deze meldingen gedaan? Er is bij 4000 meldingen een ‘eerste onderzoek’ gedaan. En dat heeft geleid tot ruim 100 waarschuwingen. In enkele tientallen gevallen is nog nader onderzoek nodig. Boetes heeft de AP, voor zover bekend, niet opgelegd. Ondertussen wordt de bezetting bij AP uitgebreid en zullen we in de praktijk nog wel even bezig zijn om helder te krijgen welke gebeurtenissen gemeld moeten worden en welke niet. De ‘letter der wet’ is te vinden in de volgende link: richtsnoeren meldplicht datalekken.