2Staff


 

Neem contact met ons op

Privacy Impact Assessment (PIA) meldplicht datalekken

Privacy Impact Assessment (PIA) meldplicht datalekken

Een Privacy Impact Assessment (PIA) is een onderzoek dat zich richt op de mogelijke impact op de privacy in gevallen waarin verwerkingen van persoonsgegevens betrokken zijn. Vanaf 1 september 2013 is het uitvoeren van een PIA voor de Rijksdienst verplicht. In het buitenland bestaat al een langere historie va n het uitvoeren van PIA’s en wordt hier ook op gehandhaafd.  Vanuit het oogpunt van het beperken van aansprakelijkheid is het uitvoeren van PIA’s zeer aan te raden. In het kader van het wetsvoorstel meldplicht datalekken is het verstandig regelmatig PIA’s uit te voeren. In het voorstel voor de Europese Algemene verordening gegevensbescherming wordt in bepaalde gevallen het uitvoeren van een PIA expliciet verplicht gesteld. Maar bovenal zijn de uitkomsten van een PIA richtinggevend voor het treffen van passende procedures en maatregelen die de privacy en veiligheid van gegevensverwerking borgen.In samenwerking met diverse partners hebben wij de afgelopen tijd ruime ervaring opgedaan met het uitvoeren van PIA’s op verschillende terreinen en biedt oplossingen voor het optimaal managen van de privacy en de bescherming van (persoons)gegevens. Deze oplossingen gaan uit van een multidisciplinaire aanpak, die zich richt op het ontwikkelen en onderhouden van het privacy- en veiligheidsbeleid en de implementatie van de daaruit voortvloeiende maatregelen en mechanismen. Denk hierbij bijvoorbeeld aan procedures ten behoeve van de informatieplicht en de Meldplicht Datalekken, de toepassing van privacy by design en privacy by default en de noodzakelijke aanpassingen in de contracten met de afnemer van gegevens en de partijen die (delen van) de verwerkingen van persoonsgegevens uitvoeren.

Onze dienstverlening is gericht op het voorkomen van sancties en het zorgdragen dat de accountant, belast met de controle van de jaarrekening, een schone  verklaring kan afgeven. Het hebben van overzicht en inzicht in de organisatie, haar verwerkingen en haar verbonden partijen is daarbij randvoorwaardelijk. Hiervoor kan gebruik gemaakt worden van een PrivacyBescherming Management Systeem (PBMS).

In verband met de veranderingen die er zijn aangekondigd in de Europese Privacy wetgeving is het verstandig om uw organisatie voor te bereiden aan de eisen die straks in verband met deze nieuwe wetgeving gesteld worden. Hierbij zal er gekeken worden naar de mogelijke privacy-impact, van systemen en processen die binnen de organisatie worden gebruikt, op de verwerking van persoonsgegevens.

Bedrijven kunnen hun informatiesystemen en laten onderzoeken op de wetgeving; wet bescherming persoonsgegevens, de meldplicht datalekken en de EU privacy verordening. Het onderzoek richt zich op de privacy-risico’s die binnen een organisatie aanwezig zijn. Dit onderzoek kan plaatsvinden op nieuw te bouwen systemen of op bestaande systemen.privacy impact assessment proces

Het onderzoek is een onmisbaar hulpmiddel voor organisaties om de privacy-impact van hun projecten en gebruikte systemen te evalueren.

Meer weten?

Meer weten over de PIA? Neem contact met ons op via ons contactformulier

Terug naar het overzicht van Audit en Adviesdiensten

Lees door: Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp

Dit wetsvoorstel voegt aan de Wet bescherming persoonsgegevens een meldplicht voor inbreuken op beveiligingsmaatregelen voor persoonsgegevens toe. Met de meldplicht datalekken wil de regering de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken en hiermee een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens.

Met dit voorstel moet de verantwoordelijke bij een datalek, waarbij kans is op verlies of onrechtmatige verwerking van persoonsgegevens, niet alleen een melding doen bij de toezichthouder, het College bescherming persoonsgegevens (Cbp), maar ook de betrokkene informeren. Deze meldplicht geldt voor alle verantwoordelijken voor de verwerking van persoonsgegevens, zowel in de private als publieke sector. Als er geen melding wordt gemaakt van een datalek kan dit bestraft worden met een bestuurlijk boete van het Cbp.

De bestuurlijke boete varieert van maximaal € 20.250 in de laagste categorie tot maximaal € 810.000 in de hoogste categorie. Dit sluit aan bij de bedragen die in het strafrecht worden gebruikt. De hoogste boete is bedoeld om ook overtredingen aan te kunnen pakken die opzettelijk en herhaaldelijk worden gepleegd, vaak met grote maatschappelijke gevolgen. Dat kan het geval zijn bij handel in persoonsgegevens. Het Cbp legt niet onmiddellijk een boete op, maar geeft eerst een zogeheten bindende aanwijzing. Dat is een op herstel gerichte, corrigerende maatregel. Wordt de aanwijzing niet binnen een bepaalde termijn uitgevoerd, dan volgt de boete.

Het College bescherming persoonsgegevens (Cbp) mag straks in meer gevallen een bestuurlijke boete opleggen aan overtreders van privacyregels. De nieuwe bevoegdheid versterkt het toezicht op de naleving en toepassing van wetten die het gebruik van persoonsgegevens regelen. Hierdoor kan het Cbp effectiever optreden tegen overheidsinstanties en bedrijven die onzorgvuldig omgaan met gegevens van burgers.

Dit blijkt uit een wetswijziging van staatssecretaris Teeven (Veiligheid en Justitie) die mede namens minister Plasterk (Binnenlandse Zaken en Koninkrijksrelaties) naar de Tweede Kamer is gestuurd. De maatregel vloeit voort uit het regeerakkoord en beoogt de bescherming van persoonsgegevens te verbeteren.

Het Cbp mag nu alleen een bestuurlijke boete opleggen bij een overtreding van een administratief voorschrift, bijvoorbeeld de verplichting om de verwerking van persoonsgegevens te melden. Straks kan dat ook bij schending van meer algemene verplichtingen die de wet stelt aan gebruik en verwerking van persoonsgegevens. Bijvoorbeeld als persoonsgegevens niet op een behoorlijke en zorgvuldige manier zijn verwerkt of langer worden bewaard dan noodzakelijk is, maar ook als de beveiliging niet deugt, het beheer van persoonsgegevens slecht is georganiseerd of gevoelige informatie over burgers zoals hun politieke voorkeur of levensovertuiging is misbruikt.

Tot slot krijgt het Cbp een nieuwe naam: Autoriteit persoonsgegevens. Die sluit meer aan bij Europese ontwikkelingen, in het bijzonder de nieuwe algemene verordening gegevensbescherming van de Europese Unie die in de loop van het volgend jaar wordt verwacht.

Meer weten?

Meer weten over de Autoriteit persoonsgegevens? Neem contact met ons op via ons contactformulier
Contact

2Staff B.V. 
Europalaan 2
5232 BV 's-Hertogenbosch 

T 030- 600 5000
F 030- 600 5001
E info@2staff.nl