Utrecht is niet de enige stad met een datalek

9 september 2016

Ina Brouwer

Privacyrecht

datalek

Het melden van datalekken is sinds 1 januari 2016 verplicht. Sindsdien volgt de publicatie van het ene datalek na het andere. Ook gemeenten krijgen te maken met datalekken.

  • Amsterdam: 3.000 uitkeringsgerechtigden ontvangen de verkeerde uitkeringsspecificatie, soms vergezeld van de gegevens van anderen.
  • Utrecht: de persoonsgegevens van duizenden Utrechters zijn eerder dit jaar onbeschermd geweest door een datalek bij de gemeente. Maar liefst 300 pagina’s met namen en burgerservicenummers verschenen op een soort intranet. Het ging daarbij om gegevens van minimaal 5.000 en maximaal 140.000 Utrechters.

 

datalek

Probleem zit niet in ICT maar in bewustwording van scherpere privacywetgeving bij teams die met persoonsgegevens werken.

 

Het standaardantwoord in zo’n geval is een extra investering in het ICT-systeem. Dat wordt ook overwogen in Utrecht maar daar zit vaak niet het probleem. De investering die moet plaatsvinden is juist een menselijke: een privacy-aanpak die niet alleen de verantwoordelijke teams bewust maakt van de steeds scherper wordende privacywetgeving, maar ook een die samen met hen een strategie uitwerkt hoe daaraan te voldoen.

Sinds 2016 is de Wet Bescherming Persoonsgegevens verscherpt. In mei 2016 is de Europese Algemene verordening gegevensbescherming in werking getreden. Die verordening zal in 2018 rechtstreeks van toepassing zijn in Nederland. Een gemeente, zorginstelling of bedrijf zal in de tussenliggende periode de privacy-aanpak moeten aanpassen om te voldoen aan de huidige en toekomstige normen.

Daarvoor is een integrale aanpak nodig. Multidisciplinaire teams die kennis delen en integreren: juristen, ICT-experts en bestuurlijke adviseurs. In Borg Compliance werken we op die manier samen: we analyseren de huidige wetgeving en de Europese verordening gegevensbescherming en kijken aan de hand daarvan, samen met de verantwoordelijke teams, naar de uitvoeringspraktijk. Pas in het laatste stadium komt de invoer in ICT systemen aan de orde en niet andersom. Een aanpak die vanuit de ICT vertrekt kan zelfs schadelijk zijn omdat daarmee de indruk wordt gewekt dat het probleem is opgelost.

Daarom investeert Borg Compliance in een aanpak waarbij de meeste focus aan het begin van het proces zit en op de verantwoordelijke teams. Alleen dan krijg je een robuuste organisatie die snapt hoe datalekken te voorkomen.