Privacyboetes van materieel belang stellen hoge eisen aan risicomanagement

Op dinsdag 26 mei heeft de Eerste Kamer de “meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp” aangenomen.

Deze meldplicht geldt met ingang van 1 januari 2016. Daarmee wordt iedere organisatie in Nederland verplicht om in bepaalde gevallen datalekken te melden aan de toezichthouder en aan de individuele betrokkenen. Daarnaast krijgt de toezichthouder de bevoegdheid om hoge boetes op te leggen bij overtreding van de Wet bescherming persoonsgegevens. Tenslotte zal het College bescherming persoonsgegevens worden omgedoopt in Autoriteit persoonsgegevens.

In welke situatie de meldplicht datalekken geldt is in de wet in algemene termen beschreven. Die algemene termen zullen door de Autoriteit persoonsgegevens nog nader in zogenaamde richtsnoeren worden uitgewerkt. Een concrete normuitwerking is van groot belang om rechtsonzekerheid zo veel als mogelijk te voorkomen. NOREA zal mede daarom input geven bij de consultatieronde van de richtsnoeren.

Beperking van rechtsonzekerheid is des te meer van belang doordat de wetsbrede boetebevoegdheid van de Autoriteit persoonsgegevens tegelijkertijd sterk wordt uitgebreid. Boetes tot een maximum van € 810.000 of 10% van de jaaromzet per geval behoren tot de mogelijkheden. Boetes van materieel belang. Tezamen met de steeds grotere reputatiegevolgen van privacy-incidenten vormt dit een reëel risico voor de continuïteit van ondernemingen.

Vanuit overheid, toezichthouder, accountants en betrokkenen komt het vergrootglas op hoe organisaties de persoonlijke levenssfeer beschermen. Het belang voor organisaties om “in privacy control” te zijn neemt hierdoor sterk toe. Dit betekent dat het specifiek op privacy gerichte risicomanagement bij veel organisaties intensivering behoeft. Een Privacy Audit of een Privacy Impact Assessment kunnen hieraan bijdragen. Gekwalificeerde IT-auditors, ingeschreven in het NOREA-register, kunnen u in dat verband bijstaan.

Voor nadere informatie en/of contact met onze Kennisgroep Privacy: norea@norea.nl / 020-3010380

Zie: video over certificering Privacy Audit Proof

Bron: NOREA, de beroepsorganisatie van IT-auditors in Nederland