Nieuwe Europese regelgeving databeveiliging veroorzaakt kopzorgen onder goede doelen

8 juni 2017
Nieuwe Europese regelgeving databeveiliging veroorzaakt kopzorgen onder goede doelen

Op 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Deze nieuwe Europese verordening is al op 25 mei 2016 in werking getreden, maar wordt pas vanaf mei 2018 toegepast. Dit om organisaties en bedrijfsleven de kans te geven zich aan te passen aan de nieuwe regelgeving. Tot de nieuwe wet daadwerkelijk wordt toegepast, blijft de Nederlandse Wet bescherming persoonsgegevens (Wbp) van kracht.

Brancheorganisatie Nederland Filantropieland (NLFL) organiseerde samen met het CBF een bijeenkomst om goede doelen bij te praten over de consequenties van de nieuwe verordening. Dit artikel gaat in op de belangrijkste conclusies.

Europese AVG & de Nederlandse Wbp: overeenkomsten en verschillen  

Veel bepalingen uit de nieuwe AVG zijn al te vinden in de bestaande Nederlandse wet. De principes zijn vergelijkbaar, maar de AVG kent een aantal aanvullingen.

In de eerste plaats moet een organisatie beter kunnen aantonen dat zij toestemming heeft gekregen van een persoon om informatie over die persoon te verzamelen en op te slaan. Ook staan in de AVG een aantal aanvullende rechten. Zo hebben consumenten nu meer rechten om hun gegevens te laten verwijderen.

Een ander belangrijk verschil is dat de nieuwe wet een stuk strenger is dan de oorspronkelijke Nederlandse wet. In de praktijk blijkt de Wbp best soepel en leidt hij in de praktijk zelden tot boetes en straffen. Veel bedrijven zijn er vanaf gekomen met een waarschuwing. Om te straffen moet er sprake zijn van opzet of grove schuld. Alleen de notoire spammers zijn op de bon geslingerd.

Vanaf 2018 is de drempel voor de Nederlandse Autoriteit Persoonsgegevens om te straffen een stuk lager geworden. Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, legt het verschil kort en bondig uit:  


“We leggen nu pas boetes op als bij opzet of grove schuld informatie op straat is komen te liggen. Volgend jaar veranderen er drie dingen: instanties moeten sneller melden, de boetes worden draconisch hoger én de drempel van opzet of grove schuld komt te vervallen. Ik denk dat 90 procent van alle bedrijven en gemeenten hier nog geen weet van heeft.”

Dit heeft in de praktijk twee belangrijke consequenties. De Autoriteit heeft veel meer slagkracht om straffen op te leggen. Dus de kans om als organisatie aangepakt te worden als je niet aan de verordening voldoet, is een stuk groter geworden.

Ook wordt er veel meer verantwoordelijkheid verondersteld als organisatie. Als organisatie dien je op de hoogte te zijn van de regelgeving en dien je jezelf voor te bereiden op de wijziging van de regelgeving.

Uitdaging voor goededoelensector

De nieuwe verordening vergt veel van goede doelen. Zowel NLFL als het CBF hebben onderzoek gedaan naar de bekendheid van de veranderingen onder de achterban.  

Hieruit blijkt dat een behoorlijk aantal goede doelen zegt op de hoogte te zijn van de nieuwe regelgeving en er ook actie op te ondernemen. Maar in praktijk blijkt dat nog veel organisaties het niet op orde hebben.

Zo blijkt uit onderzoek van het CBF dat 40% van de ondervraagden actueel beleid heeft op het vlak van privacy en informatiebeveiliging. 30% van de organisaties heeft geen beleid en 30% heeft een verouderd plan. Deze laatste twee groepen moeten dan ook een behoorlijke stap zetten om als organisatie klaar te zijn voor de nieuwe wetgeving.

Deze veranderingen vereisen expertise en capaciteit, waar lang niet altijd het budget voor is in de goededoelensector. Toch zijn er l een aantal zaken waar organisaties al mee aan de slag kunnen zonder al te veel budget.

  1. Bewustzijn binnen de organisatie creëren

Probeer in ieder geval de medewerkers op de hoogte te houden van de wetgeving rondom privacy en databescherming en creëer zo bewustzijn onder de medewerkers.

  1. Databescherming en privacy op de agenda

Naast het informeren van de medewerkers moet het ook op de agenda’s komen om ermee aan de slag te gaan. Zo kan het onderwerp meegenomen worden in overleggen van de directie / bestuurders.

  1. Beleid maken  

Als het onderwerp voldoende op de agenda staat, is het een kleine stap om er vervolgens ook beleid op te vormen, waarin je ernaar toewerkt dat de AVG binnen de organisatie op orde komt.

Je moet bij de Autoriteit Persoonsgegevens kunnen aantonen dat je je best hebt gedaan als organisatie. Je moet vooral kunnen bewijzen dat er actieve systemen zijn ter beveiliging van de data en dat deze passend zijn in jouw specifieke situatie.

Nog niet alles helder in de uitvoering

Sommige bepalingen zijn breed geformuleerd en in de praktijk moet nog blijken hoe de Autoriteit Persoonsgegevens daarmee omgaat.

Het gaat dan bijvoorbeeld om wat te doen bij een datalek. Een datalek moet gemeld worden in het geval van een risico voor inbreuk op de vrijheden en rechten van personen. De vraag is wanneer er sprake is van een risico en hoe je dit bepaalt als organisatie.

Een ander voorbeeld is de vereiste van een actieve systeembeveiliging. In de verordening staat dat er sprake moet zijn van een actieve systeembeveiliging die passend is voor jouw specifieke organisatie. De vraag is echter wanneer er sprake is van een passende beveiliging. Hoe kan je achterhalen wat in jouw specifieke situatie passend is?

Ook kan getwijfeld worden aan de capaciteit van de Autoriteit Persoonsgegevens om deze wet na te leven. En wat zal dit in de praktijk betekenen? In een publicatie op Nu.nl van 2 juni 2017 geeft een onderzoeksbureau aan dat de Autoriteit Persoonsgegevens drie tot vier keer zo groot moet worden om haar takenpakket uit te voeren en goed toezicht te houden. Volgens schattingen is tot wel 271 fte nodig om dit voor elkaar te krijgen. Terwijl dit er nu nog 72 zijn. Het valt dan ook te betwijfelen of de Autoriteit met de huidige capaciteit de invoering en handhaving van de nieuwe verordening aankan.

 

De CBF erkenning en de nieuwe wetgeving

Ook in de normen die het CBF hanteert voor de erkenning is het beleid en de beveiliging rond informatie meegenomen. Onderstaande bepalingen komen terug in de normen. Deze zijn afhankelijk van de grootte van de organisatie.

Voor organisaties met baten <500.000 geldt de norm dat De organisatie een actueel beleid heeft met betrekking tot de beveiliging van informatie. Voor organisaties met >500.000 aan baten geldt de aanvullende eis dat de organisatie zorgt voor een afdoende beveiliging van de haar ter beschikking staande informatie, zodanig dat de privacywetgeving wordt nageleefd. ICT en databeveiliging sluiten aan bij de aard van de ter beschikking staande informatie.

Door de beperkte omvang en capaciteit van de kleinere organisaties zijn de normen voor deze organisaties vrij soepel in vergelijking met de normen voor de grotere organisaties. Als zij actueel beleid hebben dan voldoen zij al aan de normen.

Voor de grotere organisaties gelden aanvullende normen. De ICT en databeveiliging moeten zodanig ingericht zijn dat zij voldoen aan de geldende wetgeving.

 

 

Wij zijn geaccrediteerd door de Raad voor Accreditatie onder registratienummer C-130 & lid van het International Committee on Fundraising Organizations.