Overzicht van wetten voor informatiebeveiliging en privacy

Geplaatst door CorporatieMedia op
 

Elke corporatie moet zich houden aan de wetten voor informatiebeveiliging en privacy. Indien je als corporatie hier niet aan voldoet, ligt er, naast boetes, fikse imagoschade op de loer. Anno 2015 is de publieke opinie bij datalekken zeer negatief. Ook toezichthouders (deels vanuit hun aansprakelijkheid) en andere stakeholders zoals gemeenten zullen uitleg en directe actie eisen. Als directeur-bestuurder of hoofd ICT ben je dan direct de sturing kwijt. Daar kom je dus ook op een kostenplaatje: na een hack, lek of verlies van data heb je niet alleen de kosten voor forensisch onderzoek, maar ook de herstelkosten. Daar er direct actie geëist wordt, zijn er vaak veel (dure) externen nodig. Daarnaast is er schade door niet beschikbaarheid van systemen, waardoor medewerkers niet kunnen werken. Om ervoor te zorgen dat bekend is wat belangrijk is, hebben wij alle wetten op een rijtje gezet.

Wet Bescherming Persoonsgegevens
De Wet Bescherming Persoonsgegevens (WPB) zorgt ervoor dat de privacy van ieder individu beschermd wordt. Voorheen heette deze wet ‘Wet op de Privacy’. In mei heeft de Eerste Kamer de nieuwe WBP aangenomen. Die zal vanaf 1 januari 2016 in werking treden. Ook krijgt het College Bescherming Persoonsgegevens (straks Autoriteit Persoonsgegevens – AP) meer mandaat en recht om boetes uit te delen. Dat maakt het nóg belangrijker om de volgende zaken vóór 1 januari volledig op orde te hebben.

- Dataminimalisatie
Een corporatie mag niet meer privacygevoelige data hebben dan nodig is voor de uitvoering van de taak. Als voorbeeld: in de zorg is het voor het uitvoeren van de taak noodzakelijk dat men medische informatie opslaat. Bij een corporatie is dat niet noodzakelijk voor het uitvoeren van de taak. En dus mag het ook niet. Let ook op het bewaren van (kopieën van) legitimatie. Een corporatie mag dit niet!

- Toegangsbeveiliging
Het WBP heeft eisen opgesteld aan de toegangsverlening tot de informatiesystemen en -diensten. Er mag enkel toegang verleend worden die nodig is om de taken uit te voeren en om onbevoegde toegang tot deze informatiesystemen te voorkomen. Deze eisen omvatten alle fases: van de instroom van medewerker tot het moment dat deze de organisatie verlaat. Ervaring leert dat het vaak goed gaat met vaste medewerkers, maar dat stagiairs en externen vergeten worden. Let ook op het intrekken van overbodige autorisaties bij functiewijziging!

- Data-integriteit
De informatie die een corporatie bezit moet vanzelfsprekend voldoen aan de eisen ten aanzien van juistheid en volledigheid van de informatie. Niet alleen omdat het slordig is als huurders correspondentie krijgen met onjuiste namen, maar ook vanuit de eisen van de jaarrekening en governance. De juistheid van informatie wordt nog belangrijker met het inrichten van online klantportalen. Fouten worden dan zeer zichtbaar!

- Datavernietiging
In de WBP staat dat een corporatie zijn gegevens niet langer mag houden dan noodzakelijk is. Zo heeft o.a. het GVB een boete gekregen doordat zij klant- en reisgegevens langer bewaarden dan was toegestaan.

- Melden datalekken
Indien een corporatie (per ongeluk) informatie lekt, moet dit direct gemeld worden bij het CBP én alle belanghebbenden. Wanneer dat niet gebeurt, riskeert de corporatie een boete van maximaal €810.000, of 10% van de jaaromzet. Er is wel de randvoorwaarde dat degene van wie de informatie gelekt is, hiervan schade moet hebben ondervonden. Maar loopt u dat risico?

- Rechten van de betrokkenen
Corporaties moeten bij betrokkenen, zoals huurders, expliciet toestemming vragen voor het vastleggen van zijn of haar gegevens en uitleggen waarvoor de informatie vastgelegd wordt. Momenteel spelen er meerdere casussen over het delen van informatie met onder andere gemeenten en wijkteams. Heeft u uw huurders gevraagd of u deze informatie mag delen?

- Vaststellen van bewerkersovereenkomsten is een vereiste
Als de corporatie haar gegevens laat opslaan door een derde (zoals een leverancier), en eventueel laat bewerken, dan hoort er een bewerkersovereenkomst te zijn. Hierin staan ook de eisen aan de leverancier vastgelegd.

Wetboek van Strafrecht
Natuurlijk is het stelen van informatie strafbaar (artikel 350a). Maar: ook de gelegenheid geven tot verminking of diefstal is strafbaar. In artikel 350b staat omschreven dat nalatigheid ook strafbaar is. Verschuilen kan dus niet meer!

Europese wetgeving
Er komt een Europese Wetgeving aan die nog verder gaat dan de nationale wetgeving. Hierin is onder andere verplicht om een privacy officer aan te stellen. Als een corporatie meer dan 250 werknemers heeft of de kernactiviteit bestaat uit het verwerken van gegevens, dan is dat verplicht. Grijs gebied, maar corporaties verwerken gegevens bij het uitvoeren van de taak. De taken en bevoegdheden van de privacy officer liggen ook in deze verordening vast. Boetes lopen in deze wetgeving op tot maximaal 1 miljoen. De eerste corporaties die een PO (of ook genoemd: Functionaris Gegevensverwerking (FG)) hebben aangesteld, zijn er al. Op tijd beginnen loont. Overigens kan je ook met een aantal corporaties een PO inhuren of delen. Dat scheelt weer in de kosten.

Bron: Audittrail

Klik hier om de bedrijfsprofielpagina van Audittrail in de CorporatieGids 2015 te bekijken.