Wet- en regelgeving persoonsgegevens: zijn ze goed beschermd?

Informatietechnologie wordt steeds belangrijker in onze samenleving. Het komt ook steeds vaker naar voren. Overal wordt informatie verzameld. Denk alleen maar aan slimme meters. In veel gevallen maakt de technologie ons leven een stuk makkelijker. Een slimme meter geeft de meterstanden door zodat je dat zelf niet hoeft te doen en via een app kun je de verwarming regelen. Helaas blijkt maar al te vaak dat er ook een keerzijde aan deze technologie is. Privacy. Sowieso kun je je afvragen of je wel wilt dat bedrijven alles van je weten, maar veel  belangrijker is misschien wel hoe zij met die informatie omgaan. Een naam en e-mailadres is niet zo privacygevoelig, maar hoe zit het met andere informatie? De gemeente waarin je woont, heeft de beschikking over veel persoonlijke informatie van je. Maar wordt die informatie wel voldoende beveiligd?

Allemaal vragen die erg actueel zijn. Zeker sinds 1 januari 2016, toen de Wet Meldplicht Datalekken van kracht werd. De wet- en regelgeving rondom informatiebeveiliging wordt steeds ingewikkelder, terwijl er steeds meer vragen over zijn. In dit artikel zoomen we daar verder op in.

Je kunt je voorstellen dat voor de ene organisatie de wet- en regelgeving rondom privacygevoelige (persoons)gegevens minder belangrijk is dan voor de andere organisatie. Een ziekenhuis of een gemeente heeft te maken met specifieke gevoelige gegevens. Hier zijn ook vaak meerdere wetten op van toepassing. Bijvoorbeeld de Wet Basisregistratie Personen (BRP) of Wet Big (Wet op de Beroepen in de Individuele Gezondheidszorg). Voor andere organisaties die niet over zulke privacygevoelige gegevens van personen beschikken, gelden algemene wetten. De bekendste en belangrijkste zijn de Algemene Verordening Gegevensbescherming (AVG) en de Wet Meldplicht Datalekken. Hierin is vastgelegd hoe we met de verwerking van persoonsgegevens omgaan en wat we moeten doen als er een mogelijk datalek heeft plaatsgevonden.

We kunnen dus de conclusie trekken dat voor iedereen een aantal basiswetten- en regels gelden voor het omgaan met persoonsgegevens en voor bepaalde organisaties aanvullende wetten. Een paar voorbeelden van basiswetten- en regels:

Bij de beveiliging van persoonsgegevens eist de AVG een risicogerichte benadering. Best logisch ook, je beveiligt altijd op basis van risico’s. Maak daarom altijd een analyse van de risico’s die je loopt bij het verwerken van de persoonsgegevens die je in bezit hebt. Op basis daarvan kun je bepalen of er maatregelen genomen moeten worden om de beveiliging op een acceptabel niveau te krijgen. De beveiliging moet natuurlijk voldoen aan de geldende wet- en regelgeving. Daarnaast kun je zelf vaststellen of je op een hoger niveau informatiebeveiliging door wilt voeren. Het laatste wat je wilt is een datalek dat gemeld moet worden. Kijk met de risicoanalyse naar het huidige niveau van informatiebeveiliging en op welke gebieden dit verbeterd kan of moet worden. Neem daarbij ook alle punten van de AVG mee. Bijvoorbeeld:

Daarnaast moet je ook alle andere wet- en regelgeving in kaart brengen die van toepassing is. Uit de risicoanalyse volgt dan een plan van aanpak met maatregelen die je moet implementeren. Voor de ene organisatie zullen dit veel en grote maatregelen zijn, voor de andere organisatie minder.

Zoals gezegd is het afhankelijk van het bedrijf welke wet- en regelgeving van toepassing is. Een aantal wetten die mogelijk van toepassing kunnen zijn:

Als je persoonsgegevens verwerkt, moet je bovendien in een aantal gevallen melding maken bij de Autoriteit Persoonsgegevens (AP). Dat is een openbaar register waarin iedereen kan zien welke persoonsgegevens gebruikt worden en voor welke doeleinden. Er zijn echter ook veel uitzonderingen op deze meldplicht. Een paar voorbeelden van de meest voorkomende uitzonderingen:

Alle uitzonderingen zijn vastgelegd in het Vrijstellingenbesluit.

Het BSN is een nummer dat vooral bedoeld is voor contact tussen burgers en de overheid. Als jouw organisatie niet onder de overheid valt, mag je het BSN alleen gebruiken als dat wettelijk zo bepaald is. Een aantal voorbeelden van soorten organisaties die het BSN mogen vragen:

Verstrek dus niet zomaar je BSN, maar vraag dat ook niet zomaar. Behalve als het echt noodzakelijk is. Hierbij geldt: wees je bewust van de veiligheid van je informatie en die van anderen en ga bewust om met registratie van gegevens.

Wil je meer weten over persoonsgegevens en privacy? Of wil je dit inregelen in je organisatie? Neem dan gerust contact met ons op. Onze adviseurs informatiebeveiliging helpen je graag op weg!