BITS&BYTES Relevant ICT nieuws voor management en ondernemers
BEWERKERS OVEREENKOMST
PRIVACY OFFICER
Wettelijk verplicht?
Outsourcen of niet?
MELDPLICHT DATALEKKEN Wat betekent dit voor uw bedrijf?
SPECIAL
WET BESCHERMING PERSOONSGEGEVENS
SYSTEEMBEHEERDERS DIE MET U MEEDENKEN!
ZOEKT U EEN ICT’ER DIE MET U MEEDENKT?
SERVER EN WERKPLEKBEHEER | ONLINE WERKPLEKKEN | VOIP TELEFONIE WIFI | OFFICE 365 | GEGEVENSBEVEILIGING
OBI, Hét ICT team Systeembeheerders die met u meedenken!
OBI.NL
Beste lezer,
In BITS&BYTES vindt u relevant ICT nieuws voor management en ondernemers. Dit nummer staat in het teken van de Europese wet gegevensbescherming en de gevolgen die deze wet voor het bedrijfsleven
inhoud
heeft. Uw organisatie krijgt hoogstwaarschijnlijk ook met deze wetgeving te maken en daarom is het zaak om stil te staan bij de veranderingen die eraan komen.
Gegevensbescherming is een heet hangijzer en er wordt van bedrijven verwacht dat zij hun zaken op orde hebben.
Is de Wet Bescherming Persoonsgegevens op uw bedrijf van toepassing?
Als ‘systeembeheerders die met u meedenken’ staan de medewerkers van OBI niet alleen voor u klaar bij systeembeheer op locatie, met VOIP telefonie en Cloud oplossingen zoals Office 365. OBI is nu ook uw ideale
p.
partner in gegevensbeveiliging.
6
Neem daarom vrijblijvend contact met ons op,
p.
zodat we gezamenlijk kunnen kijken welke oplossing het beste bij u past. Wij helpen u graag!
Roger Zweegers
p.
Directeur OBI, Hét ICT Team
COLOPHON Redactie: Serge van Uden Riumssen B.V. info@riumssen.nl www.riumssen.nl Vormgeving: Brit grafisch werk info@brit.nu Drukwerk: Drukkerij Schoenmakers Valkenswaard
BITS BYTES Relevant ICT nieuws voor management en ondernemers
MELDPLICHT DATALEKKEN p. 4-5
INFORMATIE BEVEILIGINGS BELEID
IS DE WET BESCHERMING PERSOONSGEGEVENS VOOR U VAN TOEPASSING?
Is een informatiebeveiligingsbeleid verplicht voor uw bedrijf?
p. 12-13
p. 6-7
Is een bewerkersovereenkomst wettelijk verplicht?
11
Jaargang #1 nr #1
p.
Ondanks de constante zorg en aandacht die OBI en Riumssen aan
Bronnen:
de samenstelling van deze uitgave
www.autoriteitpersoonsgegevens.nl
het mogelijk dat de informatie die
www.computable.nl www.accountant.nl
Meldplicht datalekken, wat betekent dit voor u en uw bedrijf?
van Bits&Bytes hebben besteed is in dit magazine wordt gepubliceerd onvolledig c.q. onjuist is. OBI en Riumssen aanvaarden dan ook geen aansprakelijkheid voor enigerlei directe
www.ictprivacyrecht.nl
of indirecte schade, van welke aard
nieuws.testnet.org
verband houdt met het gebruik van
ook, die voortvloeit uit of in enig opzicht Bits&Bytes.
p.
Heeft uw bedrijf een privacy officer nodig?
Is de Wet Bescherming Persoonsgegevens op uw bedrijf van toepassing?
Als u als Nederlandse organisatie persoonsgegevens opslaat of verwerkt, is de Wet Bescherming Persoonsgegevens van toepassing. Deze wet is sinds 1 januari 2016 vernieuwd. De wet stelt onder andere dat u dient te voldoen aan de meldplicht datalekken. De Wet Bescherming Persoonsgegevens is een voorloper van een nieuwe Europese wet die op 25 mei 2018 ingaat. Op die datum vervangt de Europese wet gegevensbescherming de nationale wetgevingen van alle 28 lidstaten binnen de Europese Unie met één regelgeving. Is de Wet Bescherming Persoonsgegevens voor u van toepassing, maar voldoet u hier niet aan, dan loopt u het risico een grote geldboete opgelegd te krijgen. U dient aantoonbaar te voldoen aan de Europese
met persoonsgegevens. Op tijd klaar zijn voor de wetgeving biedt
wet gegevensbescherming
voordelen. U maakt niet alleen voor de wet, maar ook voor partners
Of u nu alleen maar de salaris- en personeelsadministratie
en klanten, duidelijk dat u een betrouwbare organisatie bent. Ook
van uw organisatie bijhoudt of alle klantengegevens van
voorkomt u reputatieschade en aansprakelijkheid door datalekken
tientallen goedbezochte webshops, de manier waarop deze
van ketenpartners.
persoonsgegevens uw organisatie binnenkomen en verwerkt worden, dient u schriftelijk vast te leggen. Vanaf 25 mei 2018 dient
Voer een privacy impact assessment uit.
u namelijk aan te kunnen tonen dat u aan de wetgeving voldoet.
U dient dus aantoonbaar te voldoen aan de Europese wet
Dit doet u met een informatiebeveiligingsbeleid. Hierin dient
gegevensbescherming. Door een Privacy Impact Assessment (PIA)
een aantal zaken geïmplementeerd te worden. Bijvoorbeeld de
uit te voeren, voorkomt u dat u voor onaangename verrassingen
procedure voor het melden van datalekken en hoe u omgaat
komt te staan. Een PIA legt op systematische en inzichtelijke wijze
4
BITS&BYTES
de privacyrisico’s bloot die zich mogelijk voordoen binnen uw organisatie en laat zien of u voldoet aan de Wet Bescherming
Wat is een persoonsgegeven?
Persoonsgegevens. Daarnaast creëert u met een PIA meer
Een persoonsgegeven is een gegeven waarmee een persoon
privacybewustzijn binnen uw organisatie en ontvangt u meer
kan worden geïdentificeerd door een andere persoon,
vertrouwen van uw klanten en medewerkers, doordat zij zien dat u
zonder dat deze daarvoor een bijzondere inspanning hoeft
hun privacy respecteert en bent u voorbereid op zowel interne als
te leveren. Niet alleen een naam, adres of telefoonnummer
externe audits.
is een persoonsgegeven. Ook het geslacht van de persoon in kwestie of diens pasfoto of e-mailadres is dat. Behalve
Een PIA uitbesteden of zelf uit voeren?
gewone persoonsgegevens kent de wet ook bijzondere
Het uitvoeren van een PIA heeft niet alleen als voordeel dat u
persoonsgegevens. Hieronder vallen gegevens die de privacy
voldoet aan de wet. Het bespaart ook geld. Zo kunt u al rekening
van een persoon ernstig kunnen schaden. U kunt hierbij
houden met het aanleggen van databestanden waardoor u
denken aan seksuele voorkeur, godsdienst, politieke voorkeur
achteraf geen kostbare wijzigingen (zowel in tijd, als in geld) in
of strafrechtelijk verleden. Het verwerken van bijzondere
uw informatiesystemen hoeft aan te brengen. U kunt een PIA zelf
persoonsgegevens is enkel en alleen toegestaan als daar een
uitvoeren, maar aanbevolen wordt om deze taak uit te besteden.
wettelijk grondslag of een zwaarwegend algemeen belang
Een gespecialiseerde partij als OBI heeft voldoende en vooral
voor is.
vakinhoudelijke kennis om u bij te staan. OBI zal u wijzen op welke manier u de risico’s op datalekken kunt vermijden en/of verkleinen
(advertentie)
WET BESCHERMING
PERSOONSGEGEVENS IS DEZE VAN TOEPASSING OP UW BEDRIJF?
Laat OBI, Hét ICT-Team een Privacy Impact Assessment uitvoeren en weet waar u staat! obi.nl | 040-2620999 | info@obi.nl 5
Meldplicht datalekken, wat betekent dit voor u en uw bedrijf?
Een uitgelekt computerbestand of een uitgeprinte klantenlijst op straat bij het oud papier. Zomaar twee voorbeelden van hoe persoonsgegevens in handen kunnen vallen van mensen die daar niets mee te maken hebben. Nu de Wet Bescherming Persoonsgegevens (WBP) uitgebreid is, hebben alle bedrijven te maken met de meldplicht datalekken. U, als bestuurder, kan hoofdelijk aansprakelijk worden gesteld bij een beveiligingsincident dat voorkomen had kunnen worden. De boete voor zo’n beveiligingsincident, of het niet melden daarvan, kan oplopen tot € 820.000,-. Is deze meldplicht datalekken voor mijn bedrijf van
Wanneer mag een boete uitgeschreven worden?
toepassing?
Er mag pas een boete uitgeschreven worden als een bedrijf de
Als uw bedrijf op één of andere manier persoonsgegevens van
wettelijke eisen overtreedt, zoals:
gevoelige aard verwerkt, bent u verplicht om een datalek te
• Het niet op tijd verstrekken van informatie aan
melden bij de Autoriteit Persoonsgegevens. Bij gegevens van gevoelige aard kunt u denken aan iemands religie, seksuele geaardheid, strafrechtelijke persoonsgegevens, salarisgegevens, gebruikersnamen en wachtwoorden, medische gegevens of gegevens die misbruikt kunnen worden voor identiteitsfraude.
Wat is een datalek? Volgens de wet spreekt men van een datalek als het gaat om
belanghebbenden
• Het niet volledig verschaffen van informatie aan belanghebbenden
• Het niet melden of onvolledig melden van datalekken aan belanghebbenden
• Het verkopen van gevoelige gegevens aan derden • Het niet kunnen naleven van een verzoek tot het verwijderen van persoonsgegevens
het vernietigen, wijzigen of vrijkomen van persoonsgegevens bij een organisatie of persoon zonder dat dit de bedoeling is.
Hoe kunt u een boete voorkomen? U kunt een boete niet voorkomen door alleen een datalek
6
BITS&BYTES
te melden. U zult moeten aantonen dat u zowel technisch als organisatorisch voldoende maatregelen heeft getroffen om datalekken te voorkomen. Dit legt u vast in een informatiebeveiligingsbeleid. U leest hierover meer op pagina 8.
Voorbeeld ernstig datalek Enige tijd geleden heeft een Rotterdamse apotheek vuilniszakken buitengezet met daarin medische gegevens van honderden klanten. In deze dossiers stonden naast de NAW-gegevens en het BSN van klanten ook welke medicatie zij gebruikten en wie de behandelend arts was. Desgevraagd kon de apotheek niet aangeven hoe dit was gebeurd.
Hoe meldt u een datalek? Mocht u onverhoopt te maken krijgen met een datalek dient u stapsgewijs onderstaande acties uit te voeren:
• Informeer betrokkenen (van wie gegevens zijn gelekt) binnen 72 uur en adviseer hen om passende maatregelen te nemen.
• Meld het incident bij de Autoriteit Persoonsgegevens en geef aan dat stap 1 is uitgevoerd.
• Onderzoek het ontstaan en onderneem actie om het lek te dichten
7
Is een informatiebeveiligingsbeleid verplicht voor uw bedrijf?
8
BITS&BYTES
De Wet Bescherming Persoonsgegevens (WBP) is uitgebreid met de meldplicht datalekken. Het niet nakomen van deze meldplicht kan resulteren in zeer hoge bestuurlijke boetes. Daardoor is de WBP een hot item geworden in de ICT-wereld. In dit artikel hebben we het over informatiebeveiligingsbeleid. Een beleid dat vanaf 2018 door een Europese wetswijziging voor ieder bedrijf dat met privacygevoelige informatie werkt verplicht is. Boetes en bestuurlijke aansprakelijkheid
beveiliging van uw privacygevoelige informatie en staat u juridisch
De boete voor het niet op orde hebben van de beveiliging van
sterk.
uw privacygevoelige informatie kan oplopen tot € 820.000,-. Bestuurders kunnen hier hoofdelijk aansprakelijk voor worden
Stappenplan op weg naar een
gesteld.
informatiebeveiligingsbeleid
Naast een arbobeleid is nu ook een informatiebeveiligingsbeleid van belang
- Stel een protocol op voor het melden van datalekken - Neem technische maatregelen om een datalek te voorkomen met:
op een gestructureerde en inzichtelijke wijze de privacyrisico’s
• Versleutelde communicatie • Two factor authenticatie • Maatregelen tegen SQL injecties en XSS aanvallen • Goede wachtwoorden • Periodieke software updates • Antivirus software - Neem organisatorische maatregelen door: • Een risicoanalyse te maken met mogelijke bedreigingen en
binnen uw organisatie in beeld. Met de vergaarde informatie
maatregelen (inclusief dataclassificatie en verbeterplan)
De Arbowet verplicht iedere werkgever om een arbobeleid te voeren. Door onder andere een RI&E (Risico Inventarisatie en Evaluatie) op te zetten inventariseert u alle risico’s binnen uw organisatie wat betreft een arbobeleid. Ook voor de Wet Bescherming Persoonsgegevens kunt u inventariseren of uw organisatie voldoet aan de eisen die deze wet stelt. Dit doet u met een Privacy Impact Assessement (PIA). Hiermee brengt u
legt u de procedure, om bijvoorbeeld datalekken te voorkomen, met technische en organisatorische maatregelen vast in een informatiebeveiligingsbeleid.
• Een informatiebeveiligingsbeleid op te stellen in de vorm van een document
• Een integriteitsbeleid op te stellen voor uw medewerkers (en inhuurkrachten) en hen bewust te maken van de gevolgen van
Sta juridisch sterk met een informatiebeveiligingsbeleid Door een informatiebeveiligingsbeleid te voeren, maakt u uw
het lekken van privacygevoelige informatie
• Een bewerkersovereenkomst af te sluiten met leveranciers die uw data verwerken
organisatie weerbaar op het gebied van bescherming van uw
Let op: u bent juridisch zelf verantwoordelijk voor de juiste
privacygevoelige persoonsgegevens en laat u zien dat u aan
invulling van de richtlijnen die worden gesteld door de Autoriteit
de wettelijke eisen voldoet die worden gesteld in de WBP. U toont
Persoonsgegevens en de Wet Bescherming Persoonsgegevens
hiermee aan dat u zorg draagt voor een optimale bescherming en 9
Is een bewerkersovereenkomst verplicht voor uw bedrijf? De Wet Bescherming Persoonsgegevens is vorig jaar strenger geworden. Hierdoor zijn de wettelijke vereisten aan de bewerkersovereenkomst verscherpt. Deze is dan ook wettelijk verplicht indien persoonsgegevens in uw naam door een derde partij worden verwerkt. Een bewerkersovereenkomst is de overeenkomst tussen ‘verantwoordelijke’ (opdrachtgever) en ‘bewerker’ (opdrachtnemer). Hierin wordt vastgelegd hoe de ‘bewerker’ om dient te gaan met de persoonsgegevens en eventueel datalekken. Per slot van rekening is de ‘verantwoordelijke’ aansprakelijk voor het niet melden van een datalek.
10 BITS&BYTES
Wanneer is een bewerkersovereenkomst nodig? De wet stelt dat de ‘verantwoordelijke’ zijn ‘bewerkers’ kan verplichten te informeren over eventueel datalekken. Als u als ‘verantwoordelijke’ uw persoonsgegevens laat verwerken door een ‘bewerker’ is altijd een bewerkersovereenkomst nodig. Dit geldt tevens als de ‘bewerker’ een dochteronderneming of een in het buitenland gevestigde onderneming is.
• Derden. Leg vast of de ‘bewerker’ subbewerkers in mag schakelen.
• Locatie. Zorg dat u altijd weet in welk(e) land(en) uw data wordt opgeslagen.
• Controle. Maak afspraken dat u regelmatig uw ‘bewerker’ zult controleren.
• Aansprakelijkheid. Leg vast wanneer de ‘bewerker’ zelfstandig aansprakelijk is voor eventuele schade.
Leg vast wie waar verantwoordelijk voor is en voorkom een boete
De bewerkersovereenkomst is meestal onderdeel van het
U bent als bestuurder verantwoordelijk voor de veiligheid van de
informatiebeveiligingsbeleid dat gevoerd wordt binnen een bedrijf.
data die uw organisatie verwerkt en daardoor ook verantwoordelijk voor de eventuele gevolgen van een datalek. Het is dus van
Bent u de ‘verantwoordelijke’, de ‘betrokkene’ of
groot belang dat in een bewerkersovereenkomst zorgvuldig
de ‘bewerker’?
wordt vastgelegd welke eisen u aan de ‘bewerker’ stelt. Zo kan
Een bewerkersovereenkomst wordt afgesloten tussen een
bijvoorbeeld een geheimhoudingsplicht, in combinatie met een
‘verantwoordelijke’ en een ‘bewerker’. Die ‘verantwoordelijke’
boetebeding, geëist worden. De locatie van uw data, passende
bent u als ondernemer. U bent eigenaar van de
technische en organisatorische maatregelingen tegen verlies,
persoonsgegevens en verantwoordelijk voor wat er met deze
alsmede aansprakelijkheid als het gevolg van nalatigheid van de
gegevens gebeurt. Daarnaast stelt u ook het doel en de
‘bewerker’, zijn dan ook in de meeste bewerkersovereenkomsten
middelen voor de gegevens vast. De ‘bewerker’ is het bedrijf
terug te vinden. Door deze punten vast te leggen loopt u
aan wie de ‘verantwoordelijke’ de persoonsgegevens aanbiedt
minder risico op het krijgen van een boete door de Autoriteit
om deze te verwerken. Dat kan bijvoorbeeld zijn omdat u
Persoonsgegevens. Deze boete kan oplopen tot € 820.000,- of 10%
uw digitale nieuwsbrief door een gespecialiseerd bedrijf
van uw jaaromzet.
laat versturen of u uw salarisadministratie uitbesteedt. De ‘betrokkene’ is diegene wiens gegevens verwerkt worden.
Het opstellen van een bewerkersovereenkomst Als u een bewerkersovereenkomst wilt opstellen kunt u met de
UPDATE: Sinds kort hanteert de Europese privacyverordening een
volgende onderwerpen rekening houden:
nieuwe naam voor de bewerkersovereenkomst, namelijk
• Instructies. Zorg voor duidelijk instructies met betrekking tot
‘verwerkersovereenkomst’. ‘Verantwoordelijke’ wordt vervangen
gebruik persoonsgegevens.
• Geheimhouding. Zorg dat de ‘bewerker’ geheimhoudingsplicht wordt opgelegd.
door ‘verwerkingsverantwoordelijke’ en ‘bewerker’ wordt ‘verwerker’. Om verwarring te voorkomen, heeft OBI besloten om in dit artikel de oude termen te gebruiken
• Beveiligingsmaatregelen. Zorg dat de ‘bewerker’ passende technische en organisatorische maatregelingen neemt tegen verlies.
11
Heeft uw bedrijf een privacy ofďŹ cer nodig?
De nieuwe Europese wet gegevensbescherming stelt voor bepaalde organisaties die persoonsgegevens verwerken, vanaf medio 2018 een privacy officer (data protection officer) verplicht. Deze functionaris gegevensbescherming controleert of uw bedrijf goed omgaat met persoonsgegevens. De wet stelt een privacy officer verplicht bij bedrijven met meer dan 250 medewerkers, bij overheidsinstanties en wanneer de corebusiness van het bedrijf bestaat uit de verwerking van persoonsgegevens.
12 BITS&BYTES
Wat is een privacy officer?
Voordelen outsourcen van een privacy officer
Een privacy officer controleert of uw bedrijf goed omgaat met
Overheidsinstanties en bedrijven die in 2018 volgens de nieuwe
persoonsgegevens. Uw bedrijf moet een privacy-administratie
verordening een privacy officer nodig hebben, kunnen de
gaan bijhouden. Welke data worden er via welke bronnen
werkzaamheden zowel door een externe als interne medewerker
verzameld, met welke systemen, hoe zijn die systemen beveiligd en
laten uitvoeren. Een externe privacy officer heeft voordelen ten
welke personen kunnen erbij? De privacy officer is verantwoordelijk
opzichte van een interne, want het biedt een betere waarborg voor
voor alles wat te maken heeft met de bescherming van
de onafhankelijkheid en u hoeft geen medewerker aan te stellen
persoonsgegevens binnen uw bedrijf. Deze medewerker houdt
met ontslagbescherming. Hij wordt niet gehinderd door ‘politiek’
toezicht, verzamelt en inventariseert gegevensverwerkingen,
of ‘gevoelige tenen’ binnen de organisatie en heeft vaak ervaring
ontwikkelt interne regelingen en behandelt vragen en klachten
met meerdere bedrijven en toegang tot een netwerk van andere
van personeelsleden, klanten, patiënten. Hij geeft voorlichting en
functionarissen. Dat kan zijn werk aanzienlijk vereenvoudigen. Het
adviseert over technologie en beveiliging. De privacy officer werkt
is ook mogelijk om met een aantal ondernemingen één privacy
onafhankelijk en rapporteert aan de Raad van Bestuur.
officer te benoemen.
13
Wat te doen als u denkt geen privacy officer nodig te hebben Mocht u niet verplicht zijn een privacy officer aan te stellen, dan dient u nog wel te voldoen aan de Wet Bescherming Persoonsgegevens. Daarnaast wordt iedere organisatie geacht om hun bedrijfsvoering medio 2018 aantoonbaar in overeenstemming te hebben met de Europese wet gegevensbescherming. Als bestuurder blijft u verantwoordelijk voor het niet op orde hebben van de beveiliging van privacygevoelige informatie. Een eventuele boete kan oplopen tot â‚Ź 820.000,-. Bestuurders kunnen hiervoor hoofdelijk aansprakelijk worden gesteld. Zorg daarom dat u juridisch sterk staat met een informatiebeveiligingsbeleid
Ontslagbescherming privacy officer Een privacy officer in loondienst wordt voor minimaal twee jaar aangesteld. Dit geeft hem de gelegenheid om goed thuis te raken in de functie. Tijdens zijn ambtstermijn kan hij alleen worden ontslagen wanneer hij niet langer voldoet aan de voorwaarden voor de uitvoering van zijn taken. Na de ambtstermijn is herbenoeming mogelijk.
14 BITS&BYTES
(advertentie)
MEER LEADS? Riumssen gelooft dat relevante content samen met een op maat gemaakte database de perfecte combinatie is om nieuwe leads te genereren. Wilt u ontzorgd worden bij het vinden van leads? Riumssen schrijft uw teksten en distribueert deze via ieder mogelijk kanaal (magazine, social media, nieuwsbrief etc.) naar een voor u op maat gemaakte database met potentiĂŤle klanten. Wilt u een prijsindicatie of weten wat Riumssen voor uw organisatie kan betekenen? Neem dan contact met ons op. Wij staan u graag en geheel vrijblijvend te woord.
Riumssen B.V. Torenallee 20 5617 BC Eindhoven www.riumssen.nl 040-2110953 info@riumssen.nl
IS UW SERVER AAN VERVANGING TOE?
SERVER EN WERKPLEKBEHEER | ONLINE WERKPLEKKEN | VOIP TELEFONIE WIFI | OFFICE 365 | GEGEVENSBEVEILIGING
OBI, Hét ICT team Systeembeheerders die met u meedenken!
OBI.NL