“Meldplicht datalekken brengt zachte aanpak van privacylekken ten einde”

Privacylekken worden eindelijk daadkrachtig aangepakt door de meldplicht voor datalekken. Dit stellen Anthony Merry, director Data Protection van Sophos, en Pieter Lacroix, managing director van Sophos Nederland (foto), over de gevolgen van de Meldplicht Datalekken die nu ook door de Eerste Kamer is aangenomen en over de nieuwe Europese Privacy verordening.

Anthony Merry: “De Wet bescherming persoonsgegevens (Wbp) is lang een papieren tijger geweest. Voor onzorgvuldige omgang met persoonsgegevens werd pas in het uiterste geval een dwangsom opgelegd. Aan die zachte aanpak is nu definitief een einde gekomen. Op 26 mei jongstleden stemde de Eerste Kamer in met de uitbreiding van de Wbp met de meldplicht datalekken. Tegelijk werd de boetebevoegdheid van het College Bescherming Persoonsgegevens vergroot. Dat betekent dat bedrijven die de privacywet overtreden of zich niet aan de meldplicht voor datalekken houden - bedrijven moeten een datalek met mogelijk nadelige gevolgen voor bescherming persoonsgegevens direct melden - binnenkort boetes tot 810.000 euro of 10 procent van de jaaromzet tegemoet kunnen zien. Dat de Eerste Kamer heeft ingestemd met de uitbreiding van de Wbp, laat zien dat Nederland serieus werk wil maken van dataprivacy. De wet toont het belang van bescherming van persoonsgegevens door elke organisatie. Voor elke Nederlandse burger en voor iedereen die zaken doet met een Nederlandse organisatie is de nieuwe wet pure winst. Als wereldwijde marktleider in databescherming gelooft Sophos dat dit een bijdrage levert aan een gezonde economische omgang tussen bedrijven en consumenten.”

Pieter Lacroix: “De Meldplicht Datalekken is nog maar het begin van het aanscherpen van de regelgeving. Als de nieuwe Europese privacy verordening (General Data Protection Regulation) de Wbp vervangt – en de verwachting is dat dit volgend jaar gebeurt - moeten bedrijven zich grote zorgen gaan maken als ze hun digitale veiligheid niet op orde hebben. De GDPR geeft burgers meer grip op hun online gegevens en maakt verantwoordelijkheden ‘afrekenbaar’. Voor bedrijven kan dat grote gevolgen hebben. Ten eerste hebben burgers recht om ‘vergeten’ te worden door bedrijven. Als ze willen dat hun gegevens niet meer worden bewaard, dan moeten bedrijven die gegevens direct verwijderen. Dat is voor veel bedrijven al een technologische uitdaging. Verder moeten bedrijven kunnen aantonen dat ze technische en organisatorische maatregelen hebben genomen om de beveiliging te garanderen. Ik schat dat driekwart van de bedrijven in Nederland dat op dit moment niet kan aantonen. Ze hebben wel, vaak ook nog losse, beveiligingsproducten geïnstalleerd, maar het ontbreekt aan een integrale databeveiligingsoplossing en aan een structureel databeveiligingsbeleid. Als de GDPR wordt gehandhaafd kan de EU boetes opleggen tot 100 miljoen euro of tot 5 procent van de wereldwijde omzet. Het is dus op z’n zachtst gezegd hoog tijd dat bedrijven in actie komen.”