Security-awarenesstraining en de Wet (Wbp)

Security-awarenesstraining en de Wet (Wbp)

  Zoals ik al eerder schreef: iedere bestuurder is tot op zeker niveau bang voor een datalek waarbij medewerker-, klant- of bedrijfsgegevens openbaar worden. Dit kan veel geld kosten, zeker na het in werking treden van de Meldplicht datalekken (1 januari 2016). Maar het kost ook reputatie en klantvertrouwen. Ook als je op andere punten niet voldoet aan wet- en regelgeving, dan kan dat boetes opleveren. Wat vraagt de wet op het punt van het bewust maken van medewerkers? Letterlijk genomen zegt de Wet bescherming persoonsgegevens niet dat je security-awarenesstraining moet geven. Maar er zijn wel degelijk punten aan te wijzen waarvan alle medewerkers zich bewust moeten zijn. Bij het handhaven van de wet maakt het College Bescherming Persoonsgegevens gebruik van hun eigen “CBP Richtsnoeren Beveiliging van persoonsgegevens” (2013). Hierin schrijven zij: “Bij het onderzoeken en beoordelen van de beveiliging van persoonsgegevens hanteert het CBP als uitgangspunt een aantal beveiligingsmaatregelen die binnen het vakgebied informatiebeveiliging gebruikelijk zijn en die in veel situaties in een of andere vorm noodzakelijk zijn.” Onder de vervolgens opgesomde maatregelen staat deze:
Beveiligingsbewustzijn Alle werknemers van de organisatie en, voor zover van toepassing, ingehuurd personeel en externe gebruikers krijgen geschikte training en regelmatige bijscholing over het informatiebeveiligingsbeleid en de informatiebeveiligingsprocedures van de organisatie, voor zover relevant voor hun functie. Binnen de training en bijscholing wordt expliciet aandacht besteed aan de omgang met (bijzondere of anderszins gevoelige) persoonsgegevens.

Dat deze maatregel genoemd staat in de richtsnoeren geeft aan dat het CBP dit zal toetsen tijdens hun onderzoeken. Dat blijkt ook uit meerdere onderzoeksrapporten die het CBP heeft uitgebracht.

Een breder rapport, gericht op de zorg is “Toegang tot digitale patiëntendossiers binnen zorginstellingen” uit 2013. Daarin schrijft het CBP: “De patiënt moet kunnen rekenen op én een goede medische behandeling én een zorgvuldige omgang met zíjn vertrouwelijke gegevens. Van het bestuur van een zorginstelling mag worden verwacht dat het zijn medewerkers bewust maakt van de privacyrisico’s die een onzorgvuldige omgang met patiëntgegevens met zich meebrengt. Voorkomen moet worden dat onbevoegde medewerkers medische gegevens van grote groepen mensen inzien doordat zorgaanbieders hun autorisatiebeleid niet op orde hebben. Het is niet voor niets dat in de Wet bescherming persoonsgegevens (Wbp) medische gegevens onder de categorie ‘bijzondere gegevens’ vallen, waarvoor strengere wettelijke eisen gelden. Het CBP heeft de zorgvuldige omgang met medische gegevens dan ook hoog op de toezichtagenda staan.”

Bij de handhaving van de Wet bescherming persoonsgegevens wordt dus getoetst of een organisatie zijn medewerkers bewust heeft gemaakt!

Hier volgt een aantal punten uit de Wbp die tijdens een security-awarenesstraining aan de orde moeten komen.

Wanneer verwerk ik persoonsgegevens

Je verwerkt vaker persoonsgegevens dan je denkt. Dat zit zowel in het begrip “verwerken” als in de persoonsgegevens. Volgens de wet is een verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. De wet is van toepassing op alle geautomatiseerde verwerkingen en op handmatige verwerkingen (in grote lijnen) voor zover de gegevens zijn opgenomen in een bestand of zijn bestemd om te worden opgenomen in een bestand. Ook de verjaardagslijst is dus een verwerking van persoonsgegevens!

Persoonsgegevens in de zin van de Wbp zijn alle gegevens “betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”. Een persoon is identificeerbaar “indien zijn identiteit redelijkerwijs, zonder onevenredige inspanning, vastgesteld kan worden”. Als voorbeeld: gegevens zonder naam, maar wel gekoppeld aan een telefoonnummer, zijn dus persoonsgegevens. Het is zonder onevenredige inspanning mogelijk te achterhalen over wie het gaat.

Op welke grondslag verwerk ik deze persoonsgegevens

Als je persoonsgegevens wilt gaan verwerken moet je je altijd afvragen of er een rechtvaardiging is voor die verwerking. Dit moet je afwegen tegen de rechten van de betrokkene die worden aangetast. Mogelijke grondslagen zijn:

  • Noodzakelijk voor de uitvoering van een overeenkomst
  • Wettelijke plicht
  • Vitaal belang van de betrokkene
  • Uitvoering van een publieke taak
  • Gerechtvaardigd belang van de verwerker
  • Als er toestemming is van de betrokkene.

Is er sprake van het verwerken van “bijzondere” persoonsgegevens

De wet wijst een aantal soorten gegevens aan als “bijzondere” persoonsgegevens, waarvan verwerking in principe verboden is. Alleen voor de in de wet opgenomen doeleinden is verwerking toegestaan. Naast bijvoorbeeld gegevens over geloof en ras zijn ook “gegevens betreffende iemands gezondheid” bijzondere persoonsgegevens. Uiteraard mogen zorginstellingen die verwerken, maar alleen voor de doeleinden die zijn benoemd in de wet: voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is. Alles wat daarbuiten valt is dus verboden.

Wat zijn de rechten van de betrokkene

De betrokkenen, dat zijn de personen van wie gegevens worden verwerkt, hebben volgens de Wbp een aantal rechten. Zo mogen zij inzage vragen in hun gegevens, waarop die in begrijpelijke vorm gepresenteerd moeten worden. Hiervoor mag ten hoogste € 5 in rekening worden gebracht. De betrokkene kan vragen de gegevens te verbeteren, aan te vullen, te verwijderen, of af te schermen indien deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Binnen vier weken moet degene die de persoonsgegevens verwerkt laten weten of aan het verzoek wordt voldaan. Als de verwerker besluit er niet aan tegemoet te komen moeten daarvoor uiteraard goede redenen zijn.

En de aankomende Europese verordening….

Er wordt gewerkt aan een nieuwe Europese Privacyverordening. Als deze in werking treedt, vermoedelijk in 2016, vervalt de Wet bescherming persoonsgegevens. Over de inhoud van de verordening een andere keer meer.

Samenvattend

kan worden gezegd dat er ook een wettelijk kader is voor security-awarenesstraining. Het is belangrijk dat alle medewerkers bekend zijn met het feit dat er wettelijke regels gelden voor het verwerken van persoonsgegevens. Dan kunnen zij een deskundige raadplegen als ze niet precies weten of de verwerking rechtmatig is.

Is er bij jullie al inzicht in alle verwerkingen van persoonsgegevens? En weet iedereen voldoende van welke vereisten er gelden? Ik hoor graag jullie ervaringen!

Laat het me weten, rechtstreeks of via het commentaarveld hieronder. Als je aanvullingen of andere tips hebt, deel ze hier zodat meer mensen ervan kunnen profiteren. Of neem contact op met PrivacyLab.

Deel alsjeblieft dit artikel met jouw netwerk via de deelknop op Facebook, Twitter, Tumblr en Google+, zodat ook de mensen in jouw netwerk hiervan kunnen profiteren. Delen op LinkedIn moet nog handmatig.

[learn_press_profile]

0 Comments

Leave Reply

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *