De relatie tussen een elektronisch depot en het rechtskader toont zich breed. We halen er in deze eerste bijdrage een onderwerp uit. Het afgelopen jaar speelde datalekken en meldplichten met regelmaat een hoofdrol in de media; soms van ongekende grootte. Zo betrof een van de digitale incidenten zegge en schrijve 500 miljoen gebruikers en dus dito persoonsgegevens. In ons land ontving de Autoriteit Persoonsgegevens 5500 datalekken van 1 januari tot medio december 2016. Waarschijnlijk is dat aantal het topje van de ijsberg.
Organisaties reageren namelijk verdeeld op de nieuwe Wet meldplicht datalekken, waarmee de Nederlandse wetgever vooruitloopt op de pan-Europese meldplicht, die op 25 mei 2018 in gaat. Dan treedt de langverwachte Algemene Verordening Gegevensbescherming (AVG) in werking. Ook deze wet kent een meldplicht voor een vermoeden van een datalek, breidt privacyrechten van betrokkenen uit verplicht in bepaalde gevallen de aanstelling van een functionaris voor de gegevensbescherming (data protection officer). Sommige melden, andere nemen bewust risico’s.
Op grond van de Wet meldplicht datalekken, opgenomen in onze Wet bescherming persoonsgegevens, en straks de AVG is een bewerkersovereenkomst voor iedere organisatie die de verwerking van persoonsgegevens uitbesteedt – inclusief een derde partij die bijvoorbeeld een e-depotdienst verzorgt – verplicht. De uitbestedende organisatie blijft zelf verantwoordelijk en dus juridisch aansprakelijk voor de gegevensverwerking, dus zelf los van een wettelijk voorschrift is het verstandig hierover afspraken met externe dienstverlening te maken. Leg daarbij de verantwoordelijkheden waar ze thuis horen.
Nog een suggestie. Als we informatie als het ‘levensbloed’ van iedere moderne organisatie beschouwen (de term komt van een Engels overheidsrapport), dan past een meer holistische benadering per organisatie. Wie zich bijvoorbeeld (te) sterk richt op de meldplicht datalekken, loopt het risico andere issues te vergeten.
Digitalisering — zowel aanschaf en gebruik — ontsnapt tegenwoordig namelijk in toenemende mate aan de aandacht van de bestuurskamer, die daar toch voor verantwoordelijk is. Werknemers gebruiken mede eigen apparatuur, en vaak belangrijker, zelfgekozen en geïnstalleerde software en apps ten dienste van hun arbeid. Ook hiervoor blijft de werkgever verantwoordelijk en aansprakelijk. Naast het risico op het gebruik van onveilige of illegale software, onttrekt de verwerking van de bedrijfsinformatie zich aan overzicht en controle van het bestuur van een organisatie. Niemand weet waar welke — kopieën van bestanden van — bedrijfsdata zich bevindt, laat staan wie inzicht heeft of deze informatie (en de digitale technologie) in overeenstemming met wettelijke en contractuele voorschriften worden verwerkt.
Door Victor de Pous
Je moet lid zijn van BREED - over de grenzen van informatie om reacties te kunnen toevoegen!
Wordt lid van BREED - over de grenzen van informatie