Security, privacy en databescherming

Een terrein met toenemend belang voor ondernemingen is dat van de security en de databescherming. Niet alleen is de wetgeving inzake privacy en bescherming van persoonsgegevens recent aangescherpt, onder meer door de introductie van de meldplicht datalekken. Bij vele ondernemingsactiviteiten geldt voor de ondernemer een zorgplicht, soms op grond van de algemene regelgeving en soms op grond van specifieke wetten.

Al die regelgeving heeft tot gevolg dat ondernemers zich moeten verdiepen in digitale veiligheid (security) en in databescherming.

Het is beter daar tijdig mee te beginnen en niet te wachten op een digitale calamiteit.

Regelgeving security en databescherming

Digitale veiligheid (security) en in databescherming hebben een juridische kant:

  • wanneer loop ik aansprakelijkheidsrisico;
  • aan welke regels moet ik me houden (welke gegevens mag ik verzamelen en hoe lang mag ik die gegevens bewaren);
  • wanneer moet ik datalekken melden;
  • hoe zorg ik voor juridische waarborgen.

Dit is niet voor alle soorten ondernemingen hetzelfde. Sommige ondernemingen dienen meer maatregelen te nemen, vanwege de verhoogde risico’s die zij lopen.

Er is in Nederland al de nodige regelgeving. Daar zal vanwege de technische ontwikkelingen nog meer bij komen.

Europa
Ook Europa zal daar invloed op hebben, onder meer door middel van de onlangs vastgestelde Europese verordening, Algemene Verordening Gegevensbescherming (“AVG”), in het Engels General Data Protection Regulation (“GDPR”). De AVG zal over twee jaar rechtstreekse werking in Nederland hebben en bevat die strengere regels met betrekking tot het verwerken van persoonsgegevens. De AVG geeft de toezichthouders uitgebreidere sanctiebevoegdheden bij overtreding van de regels. De tekst van de AVG is in verschillende talen beschikbaar, onder meer Nederlandstalig en Engelstalig.

Juridisch advies Pellicaan Advocaten

Pellicaan Advocaten adviseert inzake het juridisch kader rondom security en databescherming. Voorts kan Pellicaan Advocaten input geven voor bewerkersovereenkomsten en andere juridische documenten op het gebied van security en privacy. Lees hier het overzicht van de dienstverlening van Pellicaan.

Technische en organisatorische toetsing

Ook al zijn de juridische verplichtingen goed in kaart gebracht en is er – voor zover mogelijk en wenselijk – een verzekering afgesloten, daarmee is de ondernemer er nog niet. Alleen aandacht besteden aan de juridische kant is onvoldoende, want papier is geduldig.

Om juridisch veilig te zijn dient ook te worden nagegaan hoe de security en databescherming is georganiseerd en of een en ander technisch op orde is.

Voorbeeld:
ook al ligt er een goed contract met de leverancier, als de veiligheid van die leverancier technisch en organisatorisch zo lek is als een mandje, is er groot risico voor de opdrachtgever. Dat risico kan snel naar de opdrachtgever overslaan, aangezien deze verantwoordelijk is voor het zorgvuldig kiezen van leveranciers.

Een verstandige ondernemer begint met een onafhankelijke risicoanalyse. Afhankelijk van de aard van de risico’s kan daar uit komen dat dient te worden gedacht aan nadere organisatorische en technische onderzoeken, onafhankelijke begeleiding van veranderingsprojecten en periodieke technische toetsing van systemen (bijvoorbeeld penetratie tests).

Dergelijke advisering en begeleiding vergt assistentie door onafhankelijke deskundigen. Daarbij kan worden gedacht aan diensten in de sfeer van:

  • Security Risk Assessment
  • Third Party Assurance
  • Informatiebeveiliging
  • Privacybescherming
  • IT project advies en assurance
  • IT Audit
  • IT advies en assurance

Op dat gebied werkt Pellicaan onder meer samen met de management consultants van Mazars, onder leiding van Jan Matto.

Meer informatie:

Nieuwsbrief
In september 2016 heeft Pellicaan Advocaten een nieuwsbrief uitgebracht met de volgende artikelen:

Artikelen op dit blog
Op dit blog schrijf ik over onderwerpen in de sfeer van IT, privacy en security, onder meer:

Meer artikelen zijn te vinden in de rubriek ICT, privacy, e-commerce.



Tips van de NOvA

De Nederlandse Orde van Advocaten heeft in oktober 2016 een handzaam overzicht met security tips uitgebracht, die hier is te downloaden (pdf, twee pagina’s). Hoewel het gericht is op advocaten kunnen ook anderen die met vertrouwelijke informatie bezig zijn er hun voordeel mee doen. De tips doen wel pijn, onder meer:

  • E-mail is ongeschikt voor vertrouwelijke communicatie.
  • Apparaten voor het werk (laptop, tablet, telefoon) kunnen beter niet privé gebruikt worden.