EU: boete voor beveiligingsinbreuk tot 4% mondiale omzet

16 december 2015

Gisterenavond is de EU overeengekomen, in het kader van de Network and Information Security Directive en de General Data Protection Regulation (GDPR), dat bedrijven die niet compliant zijn aan de nieuwe regelgeving een boete kunnen krijgen tot een waarde van 4% van de wereldwijde omzet.

De GDPR treedt in 2018 in werking, maar bepaalde maatregelen worden al volgend jaar van kracht. Volgens de Commissie zal de nieuwe wetgeving ‘de burger meer control geven over zijn eigen persoonlijke gegevens’. "Tegelijk zullen de nieuwe en gemoderniseerde regels ter zake het bedrijfsleven in staat stellen optimaal gebruik te maken van de kansen die de Digital Single Market biedt, door vermindering van de administratieve lasten en méér consumentenvertrouwen.”

Een van de cruciale nieuwe regels betreft de verplichting van organisaties om ‘cyber security breaches’ meteen nadat ze opgemerkt zijn openbaar te maken – op straffe van forse boetes, tot wel 4% van de jaaromzet, zo is gisteren dus afgesproken, naast andere sancties.

Implementatie van de nieuwe Network and Information Security richtlijn zal naar verwachting nog jaren vergen. In tegenstelling tot de GDPR moeten lidstaten de NIS-richtlijn ‘vertaald’ worden in de lokale wetgeving.

"Per sector zullen de gevolgen verschillen maar een aantal nieuwe vereisten zoals die rond meteen melden van inbreuken, het recht op data portability en het recht om je persoonlijke data te laten vernietigen, ze zullen allemaal nieuwe bedrijfsrisico’s vormen en daardoor de nodige aanpassingen vergen in de organisatie en de interne processen,”zegt Mark Thompson, privacy practice leader bij KPMG. “Bedrijven zullen hun privacy-gerelateerde risico’s snel moeten herwaarderen.”

computing.co.uk

Arne Lasance