fruit

citroen

fruit

peer

Is het tijd voor de Autoriteit Data Management?

De Autoriteit Persoonsgegevens (AP) komt in 2016 voort uit het College Bescherming Persoonsgegevens (CPB), de opvolger van de Registratiekamer in 2001. Met de naamswijziging in 2016 kreeg de AP ook de bevoegdheid tot het opleggen van boetes. In januari van dit jaar is Algoritmetoezicht AP ook van start gegaan. Het toezicht op algoritmes stond al langer op het verlanglijstje, dus het Algoritmetoezicht was geen verrassing. (https://autoriteitpersoonsgegevens.nl/nl/nieuws/algoritmetoezicht-ap-van-start).

De rode draad is het gebruik van Persoonsgegevens en toezicht. Met de introductie van de Wet Bescherming Persoonsgegevens ook op naleving van de wetgeving.Persoonsgegevens zijn hierbij te beschouwen als alle gegevens die op welke wijze dan ook zijn te relateren aan een identificeerbare persoon, die nog in leven moet zijn.

Autoriteit Persoonsgegevens AP

Autoriteit Persoonsgegevens AP

 

Waarom is er nog geen Autoriteit Data Management?

De Wet bescherming persoonsgegevens gaat niet uit van “eigenaarschap”, maar gaat uit van het verbruik, het “verwerken”. Met dit verwerken wordt bedoeld alle handelingen, van registreren en opslaan,  tot bewerken, kopiëren, wijzigen, aanvullen en wissen. Als partij A de adresbestanden van B gebruikt voor het versturen van bijvoorbeeld spam, dan valt partij A onder de regels van deze wetgeving. Ook gegevens als telefoonnummers en IP-adressen kunnen persoonsgegevens zijn, zelfs als er niets anders vastgelegd is.

U voelt het al aankomen: Waarom dan geen Autoriteit Data Management (ADM) of Governance (ADG)? De enige verklaring is dat er op dit moment nog geen expliciete wetgeving is, maar die was er voor 2016 ook nog niet, en toen hadden we al wel het CPB. 

Een kwestie van tijd?

Is dan het ontbreken van een rechtstreekse link met Persoonsgegevens een valide ontsnapping? Nee, want in de definitie van “verwerken” hebben we te maken met een oneindig breed spectrum van impliciete gegevens, objecten en context. 

De schier eindeloze mogelijkheden en toepassingen van data-integratie maken de oprichting en de noodzaak van de Autoriteit Data Management slechts een kwestie van tijd. Wij zijn in ieder geval helemaal voorbereid en klaar voor het gesprek. Vooruitzien is regeren toch, of is regeren vooruitzien?

fruit

citroen

fruit

peer

Recente datalekken bij NS, CZ, Vodafone en Vrienden van Amstel (artikel Telegraaf 30 maart 2023) maken bewust van het bestaan van datalekken. Talloze cyberaanvallen sinds de oorlog in Oekraïne maken de kans op een datalek groter dan ooit. De vraag is dan ook: wanneer is er sprake van een datalek, wat moet ik doen bij een datalek?

Andere vragen: komt een datalek altijd door bewuste actie van buiten en ben ik altijd verantwoordelijk voor het gegevenslek? De antwoorden op die vragen kunnen verrassend zijn. Neemt niet weg dat een datalek altijd vraagt om onmiddellijke en concrete actie. Zorg dus voor een protocol en procedure om die acties snel en betrouwbaar op te starten, met zekerheid beperk je hiermee de schade. 

Wat is een datalek eigenlijk?

Van een datalek is sprake bij toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie. Bedrijven en overheden zijn wettelijk verplicht om een datalek direct te melden bij de Autoriteit Persoonsgegevens. Melden kan via de vragenlijst meldformulier datalekken (questionnaire personal data breach notification form).

Het bekende gegeven van een externe hack op systemen is het meest voor de hand liggende voorbeeld, maar een datalek is ook al een feit wanneer een e-mail onjuist wordt verstuurd en er in deze e-mail persoonsgegevens staan. Het kan ook minder spectaculair: een vergeten  (medisch) dossier in de trein, een kwijtgeraakte USB stick, een verloren postpakket, informatie die vernietigd had moeten worden valt onverwacht uit het vernietigingsproces.

Een datalek is er sneller dan je denkt, melden is verplicht binnen 72 uur. Stel dus direct vast of er een datalek is en of het gemeld moet worden. Een stappenplan datalekken is  hierbij een must. Met een checklist neem je slagvaardig de juiste stappen en beperk je de schade. Weten hoe dat er voor jouw organisatie uit ziet? Neem contact op! 

 

Bel mij terug