NOREA: Privacyboetes van materieel belang stellen hoge eisen aan risicomanagement

Naar alle waarschijnlijkheid treedt de meldplicht per 1 januari 2016 in werking. Daarmee wordt iedere organisatie in Nederland verplicht om in bepaalde gevallen datalekken te melden aan de toezichthouder en aan de individuele betrokkenen. Daarnaast krijgt de toezichthouder de bevoegdheid om hoge boetes op te leggen bij overtreding van de Wet bescherming persoonsgegevens. Tenslotte zal het College bescherming persoonsgegevens worden omgedoopt in Autoriteit persoonsgegevens.
 
In welke situatie de meldplicht datalekken geldt is in de wet in algemene termen beschreven. Die algemene termen zullen door de Autoriteit persoonsgegevens nog nader in zogenaamde richtsnoeren worden uitgewerkt. Een concrete normuitwerking is van groot belang om rechtsonzekerheid zo veel als mogelijk te voorkomen. NOREA zal mede daarom input geven bij de consultatieronde van de richtsnoeren.

Beperking van rechtsonzekerheid is des te meer van belang doordat de wetsbrede boetebevoegdheid van de Autoriteit persoonsgegevens tegelijkertijd sterk wordt uitgebreid. Boetes tot een maximum van € 810.000 of 10% van de jaaromzet per geval behoren tot de mogelijkheden. Boetes van materieel belang. Tezamen met de steeds grotere reputatiegevolgen van privacy-incidenten vormt dit een reëel risico voor de continuïteit van ondernemingen.

Vanuit overheid, toezichthouder, accountants en betrokkenen komt het vergrootglas op hoe organisaties de persoonlijke levenssfeer beschermen. Het belang voor organisaties om ‘in privacy control’ te zijn neemt hierdoor sterk toe. Dit betekent dat het specifiek op privacy gerichte risicomanagement bij veel organisaties intensivering behoeft. Een Privacy Audit of een Privacy Impact Assessment kunnen hieraan bijdragen. ‘Gekwalificeerde IT-auditors, ingeschreven in het NOREA-register, kunnen u in dat verband bijstaan,’ aldus NOREA.