Onderneming en IT – pas op voor juridische valkuilen

Een terrein met toenemend belang voor ondernemingen is dat van het gebruik van IT en daarmee samenhangend de veiligheid van die IT en de databescherming.

De Nederlandse wetgeving inzake privacy en bescherming van persoonsgegevens is de afgelopen tijd aangescherpt, onder meer door de introductie van de meldplicht datalekken. Er zijn nog meer wijzigingen in aantocht. Bij vele ondernemingsactiviteiten geldt voor de ondernemer een zorgplicht, soms op grond van de algemene regelgeving en soms op grond van specifieke wetten.

Al die regelgeving heeft tot gevolg dat ondernemers zich moeten verdiepen in digitale veiligheid (security) en in databescherming.

Het is beter daar tijdig mee te beginnen en niet te wachten op een digitale calamiteit.

Regelgeving security en databescherming

Digitale veiligheid (security) en in databescherming hebben een juridische kant:

  • wanneer loop ik aansprakelijkheidsrisico;
  • aan welke regels moet ik me houden (welke gegevens mag ik verzamelen en hoe lang mag ik die gegevens bewaren);
  • wanneer moet ik datalekken melden;
  • hoe zorg ik voor juridische waarborgen.

Dit is niet voor alle soorten ondernemingen hetzelfde. Sommige ondernemingen dienen meer maatregelen te nemen, vanwege de verhoogde risico’s die zij lopen.

Er is in Nederland al de nodige regelgeving. Daar zal vanwege de technische ontwikkelingen nog meer bij komen.

Europa
Ook Europa zal daar invloed op hebben, onder meer door middel van een Europese verordening, Algemene Verordening Gegevensbescherming (“AVG”), in het Engels General Data Protection Regulation (“GDPR”). De AVG zal per 25 mei 2018 rechtstreekse werking in Nederland hebben en bevat die strengere regels met betrekking tot het verwerken van persoonsgegevens. De AVG geeft de toezichthouders uitgebreidere sanctiebevoegdheden bij overtreding van de regels. De tekst van de AVG is in verschillende talen beschikbaar, onder meer Nederlandstalig en Engelstalig.

Juridisch advies Pellicaan Advocaten

Pellicaan Advocaten adviseert inzake het juridisch kader rondom security en databescherming. Voorts kan Pellicaan Advocaten input geven voor bewerkersovereenkomsten en andere juridische documenten op het gebied van security en privacy. Lees hier het overzicht van de dienstverlening van Pellicaan.

Technische en organisatorische toetsing

Ook al zijn de juridische verplichtingen goed in kaart gebracht en is er – voor zover mogelijk en wenselijk – een verzekering afgesloten, daarmee is de ondernemer er nog niet. Alleen aandacht besteden aan de juridische kant is onvoldoende, want papier is geduldig.

Om juridisch veilig te zijn dient ook te worden nagegaan hoe de security en databescherming is georganiseerd en of een en ander technisch op orde is.

Voorbeeld:
ook al ligt er een goed contract met de leverancier, als de veiligheid van die leverancier technisch en organisatorisch zo lek is als een mandje, is er groot risico voor de opdrachtgever. Dat risico kan snel naar de opdrachtgever overslaan, aangezien deze verantwoordelijk is voor het zorgvuldig kiezen van leveranciers.

Een verstandige ondernemer begint met een onafhankelijke risicoanalyse. Afhankelijk van de aard van de risico’s kan daar uit komen dat dient te worden gedacht aan nadere organisatorische en technische onderzoeken, onafhankelijke begeleiding van veranderingsprojecten en periodieke technische toetsing van systemen (bijvoorbeeld penetratie tests).

Dergelijke advisering en begeleiding vergt assistentie door onafhankelijke deskundigen. Daarbij kan worden gedacht aan diensten in de sfeer van:

  • Security Risk Assessment
  • Third Party Assurance
  • Informatiebeveiliging
  • Privacybescherming
  • IT project advies en assurance
  • IT Audit
  • IT advies en assurance

Op dat gebied werkt Pellicaan onder meer samen met de management consultants van Mazars, onder leiding van Jan Matto.


Meer informatie

  • Algemene informatiepagina privacy en security op de website van Pellicaan, met informatie over onze dienstverlening
  • Twitter account Privacy Pellicaan: aankondiging van onze eigen berichten en van belangrijke berichten van derden

Nieuwsbrieven
In september 2016 heeft Pellicaan Advocaten een nieuwsbrief uitgebracht met de volgende artikelen:

In juni 2017 is een nieuwsbrief over privacy en arbeid (pdf) uitgekomen:

  • Controle en het monitoren van werknemers. Mag dan niets meer? [Caro Mennen]
  • Hoe zit het ook alweer met identificatie, kopietje paspoort en BSN [Ellen Timmer]
  • Privacy in een sollicitatieprocedure [Jeroen Belderok]
  • Opvragen van personeelsgegevens [Xander Alders]

Artikelen op dit blog
Op dit blog schrijf ik over onderwerpen in de sfeer van IT, privacy en security, onder meer:


Tips van de NOvA

De Nederlandse Orde van Advocaten heeft in oktober 2016 een handzaam overzicht met security tips uitgebracht, die hier is te downloaden (pdf, twee pagina’s). Hoewel het gericht is op advocaten kunnen ook anderen die met vertrouwelijke informatie bezig zijn er hun voordeel mee doen. De tips doen wel pijn, onder meer:

  • E-mail is ongeschikt voor vertrouwelijke communicatie.
  • Apparaten voor het werk (laptop, tablet, telefoon) kunnen beter niet privé gebruikt worden.

 

Advertenties