Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Steeds vaker lees ik hier (en elders) dat systeem- of netwerkbeheerders bij bedrijven worden aangewezen door hun werkgevers om te zorgen dat aan de Wet bescherming persoonsgegevens / Algemene Verordening Gegevensbescherming wordt voldaan. Deze mensen zijn natuurlijk niet (perse) gespecialiseerd in informatiebeveiliging of compliance met privacywetgeving. Kun je dan zeggen dat het bedrijf tekortschiet in haar nakoming van de wet?
Antwoord: Sinds de invoering van de Wet meldplicht datalekken op 1 januari vorig jaar maken veel bedrijven een inhaalslag op het gebied van naleving van de privacywetgeving. De nieuwe Europese Privacyverordening (die 25 mei 2018 van kracht wordt, en nee we zitten nú in het overgangsrecht) zal daar nog een schepje bovenop doen.
Omdat privacy compliance vaak hand in hand gaat met ICT-systemen, ligt het voor de hand dat deze taak bij de afdeling ICT wordt neergelegd. Of dat verstandig is, kun je je inderdaad afvragen. De wettelijke eisen zijn veel breder dan alleen sterke wachtwoorden, netwerkbeveiliging en dichtgetimmerde laptops (om even te chargeren). Iedere afdeling zal hierin een taak hebben.
De vraagsteller wees nog op artikel 13 Wbp, dat eist dat de verantwoordelijke passende technische en organisatorische maatregelen moet nemen om persoonsgegevens te beveiligen. Even voor de duidelijkheid, de term 'verantwoordelijke' slaat hier op de eindverantwoordelijke voor de persoonsgegevens en dat is de werkgever dus, niet de ICT-afdeling of de individuele beheerder.
Als invoering van Wbp/AVG-compliance een uitdaging wordt, dan doet een bedrijf er goed aan een data protection officer of functionaris gegevensbescherming (FG) te benoemen. Dit is soms verplicht, maar ook als het niet verplicht is, kan het nuttig zijn. Een FG kan extra aandacht vragen voor nakoming van de wet, en wanneer een organisatie een goed functionerende FG heeft, zal de toezichthouder zich terughoudend opstellen.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.