21 mei 2015
in ICT
Het mkb heeft de bescherming van privacygevoelige data vaak niet op orde. Dat blijkt uit onderzoek van KPN en Exact. Met de nieuwe Europese Privacy Verordening die eraan zit te komen en de wijzigingen van de Wet bescherming persoonsgegevens in ons eigen land, stapelen de risico's voor het mkb zich op, met forse boetes in het vooruitzicht. Welke veranderingen zijn er op komst en hoe kun je je daarop voorbereiden? 

De Europese Commissie werkt aan nieuwe databeschermingsregels, de General Data Protection Regulation. Verwacht wordt dat de regels dit jaar al van kracht worden; met verregaande consequenties voor alle bedrijven. Zij worden verplicht om hun data optimaal te beschermen. Uit het onderzoek van KPN en Exact blijkt dat veel Nederlandse ondernemers zich niet bewust zijn hoe gevoelig de data is die zij bezitten. Mocht die data onbedoeld buiten het bedrijf terecht komen, dan riskeer je straks boetes tot honderd miljoen euro of tot 5 procent van de jaarlijkse, wereldwijde omzet.

Bewijslast ligt bij ondernemer

Pieter Lacroix is managing director bij Sophos, een bedrijf dat security-oplossingen biedt. Hij ziet dat veel bedrijven zich niet bewust zijn van het zwaard van Damocles dat boven hun hoofd hangt. “De oude Europese databeschermingswetgeving dateert van 1995, in twintig jaar is er niets aan de wet- en regelgeving veranderd, terwijl de wereld om ons heen niet sneller had kunnen veranderen.” Hij doelt op de smartphones die vrijwel iedereen nu op zak heeft, op de kantoormuren die virtueel vrijwel niet meer bestaan en op alle data die overal verzameld, opgeslagen en gedeeld wordt. De nieuwe wet schrijft straks voor dat ieder bedrijf de privacygevoelige data van klanten en medewerkers moet beschermen. Alle informatie die een individu kan identificeren, valt onder de nieuwe regels. “Onder de nieuwe wetgeving moet een bedrijf kunnen aantonen dat ‘passende maatregelen’ getroffen zijn. Dat realiseren veel bedrijven zich niet. Ze maken wel gebruik van bijvoorbeeld encryptie (het versleutelen van data zodat gegevens veilig kunnen worden opgeslagen en worden gedeeld – red.), maar hebben geen applicatie waarmee ze kunnen aantonen wat er precies versleuteld is. Doordat de bewijslast straks bij de bedrijven komt te liggen, is een softwareprogramma waarmee je kunt aantonen hoe je bijvoorbeeld de laptops en smartphones van je medewerkers hebt beveiligd, onmisbaar”, zegt Lacroix.

Slagers en loodgieters

De grote bedrijven in Nederland zijn zich bewust van de op handen zijnde veranderingen. De grote onwetendheid ligt bij het mkb. “Een slager of loodgieter die een laptop heeft waarop adresgegevens van klanten staan en die hij ook privé gebruikt, valt straks onder dezelfde regels. Als hij zijn laptop op vakantie kwijt raakt, dan kan ook hij hoge boetes tegemoet zien.”

Niet alleen Europa, ook de Nederlandse overheid heeft privacy en beveiliging hoog in het vaandel staan. Er ligt op dit moment een wetsvoorstel tot wijziging van de Wet bescherming persoonsgegevens (Wbp) bij de Eerste Kamer. Deze wetswijziging behelst enerzijds de meldplicht datalekken. Als een bedrijf privacygevoelige informatie verliest, moet ze dat direct melden bij zowel de toezichthouder als de betrokkene waarvan de data is gelekt. Anderzijds bevat het wetsvoorstel de toekenning van een boetebevoegdheid aan de toezichthouder (het College bescherming persoonsgegevens) voor alle mogelijke schendingen van de Wbp. Het gaat dan om boetes tot 810.000 euro of 10 procent van de jaarlijkse omzet. 

Verplichte functionaris voor gegevensbescherming

Een andere maatregel die grote impact gaat hebben op het mkb is de vereiste dat ieder bedrijf een functionaris aanstelt die verantwoordelijk is voor gegevensbescherming. De nieuwe EU-regelgeving is helder over welke organisaties zo’n functionaris moeten aanstellen:

De voor de verwerking verantwoordelijke en de verwerker wijzen een functionaris voor gegevensbescherming aan in elk geval waarin:

a. de verwerking wordt uitgevoerd door een overheidsinstantie of –orgaan; of

b. de verwerking wordt uitgevoerd door een onderneming met minimaal 250 werknemers; of

c. een voor de verwerking verantwoordelijke of verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doel regelmatige en stelselmatige observatie van betrokkenen vereisen.

Gegevens van meer dan 5000 klanten?
Dat laatste raakt vooral dienstverleners die voor hun klanten persoonsgegevens verwerken, zoals bijvoorbeeld SaaS-leveranciers, datacenters of administratiekantoren. Maar de regel geldt ook voor ondernemers die van meer dan vijfduizend Europese burgers informatie hebben. “Een kleine organisatie die van een paar duizend mensen maandelijks een paar cent ontvangt, valt al onder deze regeling. Dat kan dus ook een succesvolle webshop of app-bouwer zijn”, waarschuwt Lacroix.

Hij is op een missie om organisaties bewust te maken van de aanstaande regelgeving en de impact van de vernieuwde wetten. “Bedrijven moeten zorgen voor passende maatregelen in combinatie met een duidelijk databeschermingsbeleid.” Hij adviseert tooling die niet alleen automatische encryptie toepast, maar ook rapportagemogelijkheden biedt. Daarnaast pleit hij voor awareness binnen organisaties. “Laat je medewerkers zich bewust worden en zijn van de gevoeligheid van data en hoe ze daar op een veilige manier mee kunnen omgaan.” Voor bedrijven die willen weten hoe ze ervoor staan, heeft Sophos een gratis online check ontwikkeld waarmee ondernemers kunnen nagaan hoeveel risico ze lopen als de nieuwe General Data Protection Regulation straks van kracht wordt.

Securityspecialisten

F-Secure

G-data

Sophos

TrendMicro

Kaspersky Lab

Symantec

Novell 

Share on print
Share on facebook
Share on linkedin
Share on twitter
Beleggen in vastgoed is een langetermijnbelegging. Benieuwd wat jouw opties zijn? Lees meer in de brochure. Prognose gemiddeld jaarrendement over 7 jaar: 8,1%.

Lees ook…