Wbp vereist dat bedrijven en overheden die persoonsgegevens verwerken “passende technische en organisatorische maatregelen” nemen om persoonsgegevens te beveiligen. Wat betekent dit voor uw organisatie?
In de CBP Richtsnoeren van februari 2013 is aangegeven hoe het CBP bij het onderzoeken en beoordelen van beveiliging van persoonsgegevens in individuele gevallen de beveiligingsnormen uit de Wbp toepast.
De Richtsnoeren geven onder meer aan dat van de verantwoordelijke (vaak de klantorganisatie) vereist wordt intern maatregelen te treffen waarvan enkele vervolgens – nadat de bewerkersovereenkomst is gesloten – door de bewerker (vaak de leverancier) nageleefd moeten worden. Onder voornoemde maatregelen worden mede verstaan het doen van de PIA (Privacy Impact Assessment, hoofdstuk 3 Richtsnoeren), het inbedden van de plan-do-check-act-cyclus of kwaliteitscirkel in de dagelijkse praktijk van de organisatie van de verantwoordelijke en de bewerker, het treffen van maatregelen op basis van beveiligingsstandaarden etc.
Wanneer duidelijkheid wordt verkregen over wie welke maatregelen moet nemen en hoe de datastromen lopen tussen de verantwoordelijke, bewerker en eventueel een subbewerker, dan pas kan de verantwoordelijke het betreffende beveiligingsbeleid formuleren, de plichten voor de bewerker definiëren in een bewerkersovereenkomst en in een beveiligingsplan als bijlage daarvan opnemen. Afhankelijk van wat de uitkomst is van de PIA en op grond daarvan vastgestelde betrouwbaarheidseisen en maatregelen, zullen de belangen van uw organisatie ook in de bewerkersovereenkomst tot hun recht moeten komen.
Als de klantorganisatie (nog) niet klaar is voor/met het treffen van deze maatregelen dan zal zij mogelijk ook met het sluiten van een bewerkersovereenkomst met de leverancier, nog niet het vereiste niveau van beveiliging van persoonsgegevens kunnen bereiken en zal zij daardoor bij een eventueel onderzoek door het CBP wellicht non-compliant worden verklaard. Het gevolg is dat de bewerker (leverancier) dat dan ook is omdat hij door het niet vervullen van zijn plichten op basis van die niet doeltreffende bewerkersovereenkomst de Wbp schendt. Daarnaast mag de bewerker niet in plaats van de verantwoordelijke treden bij het invullen van de voornoemde maatregelen. Dit zou voor uw organisatie – indien u een partij bent bij zo een bewerkersovereenkomst – ook tot gevolg kunnen hebben dat jullie uiteindelijk geconfronteerd kunnen worden met een dwangsom en/of een boete van CBP, naast de negatieve media aandacht die hiermee gepaard gaat.
De tijd dus om goed het beveiligingsbeleid onder de loep te nemen in uw organisatie.
Neem contact met ons op, onze privacy expert, indien u meer informatie wenst naar aanleiding van dit onderwerp