Actueel

TERUG NAAR OVERZICHT

Concrete aanpak bescherming persoonsgegevens voor leden

15-11-2016
Bescherming van persoonsgegevens en meldplicht datalekken? Zeg deze woorden en menige organisatie zal diep zuchten. De RIBW Alliantie ondersteunt haar leden bij het voldoen aan de Europese wet- en regelgeving hierover. Matias Kruyen, oprichter van adviesbureau Privacy Sociaal Domein, verzorgt het projectmanagement van het traject privacy- en gegevensbescherming, waaraan 19 van onze leden deelnemen.
Kluis
Veranderingen
De belangrijkste veranderingen sinds de toevoeging van de Meldplicht datalekken aan de Wet bescherming persoonsgegevens (Wbp) op 1-1-2016:

• De toezichthouder College Bescherming Persoonsgegevens is nu een autoriteit: als Autoriteit Persoonsgegevens (AP) kan zij bestuurlijke sancties opleggen (zoals Autoriteit Financiële Markten en Inspectie voor de Gezondheidszorg).

• Organisaties hebben de plicht om ernstige datalekken te melden bij de AP en soms zelfs aan de cliënten en medewerkers.

• De AP houdt toezicht op vrijwel alle artikelen in de Wbp: de kans op bestuursrechtelijke sancties wordt hierdoor groter, net als die van privaatrechtelijke claims.

• De bestuursrechtelijke boetes zijn gestegen van €4.500,- op één artikel uit de Wbp naar €820.000,- tot 10% van de jaaromzet.
 
Stappenplan
“Door het strengere toezicht op de naleving, de zwaardere sancties en de bestuurlijke risico’s is de drang om compliant te zijn een stuk groter geworden”, aldus Kruyen. In samenwerking met de RIBW Alliantie, Duthler Associates en Privacy Sociaal Domein is een normenkader ontwikkeld, speciaal voor het Sociaal Domein. Dit normenkader bestaat uit een zevental volwassenheidsniveaus. Niveau 1 is het minimum en staat voor een relatief hoog risico, niveau 7 is het hoogst haalbare. Een concreet stappenplan voor de leden, waarmee ze compliant worden aan relevante wet- en regelgeving.

“De bestuurder kiest het volwassenheidsniveau dat past bij zijn of haar organisatie. Via een bijbehorend gegevensbeschermingszegel kan de organisatie een audit ondergaan. Zo kun je je echt gaan onderscheiden, want privacy en gegevensbescherming zal als thema in de toekomst alleen maar belangrijker worden.”

In de praktijk
Om bij een lidinstelling de juiste informatie boven tafel te krijgen, wordt eerst een aantal sleutelfunctionarissen benoemd. Vertegenwoordigers van het bestuur, kwaliteit, ICT en het primaire proces vormen een zogeheten intern privacy-team. In een tweedaagse workshop maken zij kennis met de juridische grondslagen, verplichtingen uit wet- en regelgeving, normenkader, gegevensbeschermingszegel etc.

Daarnaast gaat de workshopdocent aan de slag met aangeleverde documentatie zoals beleidsdocumenten, protocollen en gedragscodes. Hierna wordt er een GAP-analyse en verbeterplan opgesteld, die inzicht geven in de benodigde acties om uit de risicozone te komen. “We bespreken hoe we de geconstateerde ‘gaten’ binnen de organisatie zo snel mogelijk dichten en waar samenwerking tussen de leden van de RIBW Alliantie mogelijk is.”

Veel interesse
Ongeveer de helft van de leden heeft intussen de eerste workshop achter de rug. “In de bestuurslaag is de interesse zeker gewekt. Er zijn ook al met veel enthousiasme activiteiten ontplooid. We zijn bezig om vanuit de RIBW Alliantie hier samenhang in te brengen, zodat we samen kunnen optrekken,” vertelt Kruyen.

Een heikel punt is de ketenaansprakelijkheid: bij het delen van persoonsgegevens met andere partijen - o.a. (sub)bewerkers) - blijf je als partij bestuursrechtelijk verantwoordelijk voor een goede bescherming van de persoonsgegevens. Een pittige opgave, aldus Kruyen. “Je bent dus wettelijk verplicht erop toe te zien dat je partners in het Sociaal Domein hun beheers- en beveiligingssystemen op orde hebben.”

Volgende stap
De leden van de RIBW Alliantie denken bewust vanuit het Sociaal Domein. Kruyen: “Daarom is de bedoeling dat regionale partners in de toekomst kunnen aansluiten bij hun normenkader Sociaal Domein. In een later artikel kom ik hier graag op terug.”