Kompas voor het management, slijpsteen voor de geest

Organisaties moeten zich houden aan steeds strengere en complexe privacy wet- en regelgeving. Nieuwe technologie en de informatisering van de bedrijfsvoering zorgt voor een paradoxale toename in gecompliceerde en grens-overschrijdende verwerking van persoonsgegevens. Zo dient men te voldoen aan de Europese privacy verordening, aan de richtlijnen van de Autoriteit Persoonsgegevens, volgend uit artikel 13 van de Wet Bescherming Persoonsgegevens (WBP) en eventueel aan lokale wetgevingen van andere landen waar haar diensten worden aangeboden. De WBP wordt op 25 mei 2018 vervangen door de AVG.

Het is dan ook van belang dat u inventariseert wat uw privacy-verplichtingen zijn op grond van de privacy wetgeving, hoe u aan deze verplichtingen kan voldoen en hoe uw organisatie daarmee in de toekomst wenst om te gaan. U kunt zich daarmee onderscheiden ten opzichte van uw concurrenten en tevens vertrouwen scheppen bij uw klanten, burgers, patiënten, werknemers en andere belanghebbenden. QCN kan (gezamenlijk met haar partners) uw organisatie helpen om aan haar verplichtingen te voldoen op het gebied van persoonsgegevens bescherming en om privacy helder op de kaart te zetten van uw organisatie. Er bestaat, om gemeenten te helpen ook een model privacybeleid en -reglement, wellicht dat u hier uw voordeel mee kunt doen.

Privacy 2

De nieuwe wet- en regelgeving geeft een striktere invulling aan hoe om te gaan met persoonsgegevens. Zo moeten gegevensbescherming en privacy op orde zijn. Hierover zal het bestuur van een bedrijf of instelling, de verantwoordelijke in de zin van de wet, transparant willen. Voor overheden en veel bedrijven wordt het aanstellen van een Privacy Officer (PO) verplicht.

Het voldoen aan de wetgeving vereist dat u een PO aanstelt die op zijn taak voorbereid is en zijn functie adequaat uit kan oefenen. Een gedegen opleiding van de FG is dan ook vereist, zowel voor de PO als de organisatie die een PO aan moet stellen. Een adequate opleiding is niet voldoende. In de dagelijkse praktijk zullen PO’s onderling verbonden willen zijn, ervaringen willen delen en desgewenst advies aan elkaar willen vragen.

De PO vormt de spil in het privacybeschermingsweb. De PO beschikt niet alleen over juridische deskundigheid, maar moet ook verstand hebben van administratieve organisatie, informatiebeveiliging, ICT, compliance en dient snel te kunnen handelen in tijden van crisis. De PO houdt binnen een organisatie toezicht op de toepassing en naleving van de Wet bescherming persoonsgegevens (Wbp) alsmede de Wet meldplicht datalekken. Daarnaast adviseert de FG de leiding van de organisatie en rapporteert over de mate waarin het privacy- en beveiligingsbeleid is gerealiseerd en wordt geborgd. De wettelijke taken en bevoegdheden van de PO geven deze functionaris een onafhankelijke positie. Alle betrokkenen van wie persoonsgegevens verwerkt worden, zoals klanten, patiënten en personeelsleden, kunnen bij een FG terecht voor informatie over en inzage in de eigen verwerkte persoonsgegevens of voor klachten. De PO levert daarmee een belangrijke bijdrage aan correct gebruik van vertrouwelijke persoonlijke gegevens door de organisatie.

De meldplicht data lekken: Daarnaast dienen organisaties het lekken dan gegevens/data te voorkomen en bij het lekken dit melden. Zowel private als publieke organisaties die persoonsgegevens verwerken worden met ingang van 1 januari 2016 verplicht om inbreuken op de beveiliging te melden die leiden tot bijvoorbeeld diefstal, verlies of misbruik van persoonsgegevens. Dat zijn dus meer organisaties dan de aanbieders van elektronische communicatienetwerken en -diensten voor wie op grond van de Telecommunicatiewet reeds een meldplicht geldt bij diefstal, verlies of misbruik van persoonsgegevens van abonnee of gebruiker. Het doel van de meldplicht is om tot een betere bescherming van persoonsgegevens te komen. Het inwerkingtredingsbesluit van de Wet meldplicht datalekken en uitbreiding boetebevoegdheid is op 10 juli van dit jaar in het Staatsblad gepubliceerd. Ook hier zijn taken weggelegd voor de Privacy Officer en de CISO.The privacy watchdog