10 februari 2015 is het voorstel betreffende de wijziging van de Wet bescherming persoonsgegevens (Wbp) met algemene stemmen aangenomen door de Tweede Kamer. Op 24 februari bespreekt de Eerste Kamercommissie voor Veiligheid & Justitie procedure (procedurevergadering). De daadwerkelijke wijziging van de wet komt hiermee steeds dichterbij. Wat betekent deze wijziging nu eigenlijk in grote lijn en wat is de relatie met security awareness?
De nieuwe Wbp wordt uitgebreid met artikelen die voorzien in een meldplicht in het geval van een datalek, of zoals staat omschreven in de wet ‘een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die door hem worden verwerkt.‘ Daarnaast vindt er een uitbreiding plaats van de bestuurlijke boetebevoegdheid. Het College Bescherming Persoonsgegevens (CBP) krijgt met de nieuwe wet namelijk de mogelijkheid om een bestuurlijke boete van maximaal € 810.000 op te leggen, onder andere in geval van inbreuk op artikel 13. Overigens kan het CBP dit pas doen nadat aan de overtreder een bindende aanwijzing heeft gegeven en dat de termijn van deze aanwijzing is verlopen.
Security awareness en meldplicht datalekken
Graag wil ik nader inzoomen op artikel 13, welke tekst luidt:
“De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.”
Het gaat mij in het bijzonder om de term ‘organisatorische maatregelen’. Wat mij betreft valt hieronder ook het implementeren en beheren van een gedegen security awareness programma, waarbij continu gestreefd wordt naar het daadwerkelijk creëren van bewustzijn bij de medewerkers. Uit onderzoek blijkt telkens weer dat de grootste oorzaak van datalekken bij de eigen medewerkers gevonden wordt.
Wat denkt u? Hoe groot is uw “risk appetite”? Is het risico van bestuurlijke boete van maximaal € 810.000 het waard om niets tot weinig aan security awareness te doen?