Het Europees Parlement, de Raad en de Europese Commissie hebben deze week overeenstemming bereikt over een nieuwe geharmoniseerde wettekst waarmee binnen alle EU lidstaten de bescherming van privacygevoelige gegevens wordt geregeld. Pieter Lacroix, Managing Director Sophos Nederland, juicht de ontwikkeling toe, maar waarschuwt dat de Europese regels, die waarschijnlijk pas in 2018 ingaan, voor Nederlandse bedrijven in feite al over twee weken werkelijkheid worden.
Pieter Lacroix: “De gezamenlijke wettekst die de EU nu heeft opgesteld is een enorme stap vooruit. Met deze tekst, als hij inderdaad op deze manier door alle lidstaten wordt ondertekend, worden de rechten van 500 miljoen Europese burgers eindelijk aangepast aan de nieuwe digitale werkelijkheid. Ze krijgen veel meer zeggenschap over de gegevens die organisaties nu van hen in huis hebben en meer inzicht in wat er met die data gebeurt. Bovendien krijgen ze meer middelen om organisaties aan te pakken als die niet zorgvuldig met hun gegevens omgaan. Met deze wetgeving lopen organisaties straks het risico op boetes ter hoogte van maar liefst vier procent van hun jaaromzet, als ze de privacy van Europese burgers niet afdoende beschermen. Dat is nogal wat…
“Dat gezegd hebbende: deze Europese wet- en regelgeving moet nog definitief worden aangenomen en dan duurt het nog eens twee jaar voor het daadwerkelijk ingaat. Dan zitten we in 2018. In Nederland is vergelijkbare wetgeving dan allang een feit. Sterker nog: per 1 januari aanstaande gaat hier de meldplicht datalekken in, waarmee in grote lijnen hetzelfde wordt geregeld. Dat is over twee weken! Wie wacht totdat de Europese regelgeving ingaat is dus veel te laat. Vanaf 1 januari aanstaande kun je hier in Nederland al een boete van maximaal € 820.000,- tegemoet zien voor iedere keer dat je in gebreke blijft bij de bescherming van privacygevoelige gegevens in je organisatie.
“Als databeveiligingsspecialist weten we dat Nederlandse organisaties daar niet klaar voor zijn. Uit eigen onderzoek, dat we eind oktober hebben gepubliceerd, bleek dat 58 procent van alle 262 door ons ondervraagde IT’ers bij de overheid, in de zorg, bij financiële instellingen en in onderwijs en vervoer, niet eens van die meldplicht op de hoogte waren. En de overheid heeft daar, ondanks aandringen van onze kant, helemaal niets aan veranderd.
“Met ingang van 1 januari 2016 zijn bedrijven, instellingen en overheden in Nederland verplicht om alle inbreuken op de IT-beveiliging die leiden tot bijvoorbeeld diefstal, verlies of misbruik van persoonsgegevens, te melden bij de Autoriteit Persoonsgegevens – de nieuwe naam van het College bescherming persoonsgegevens (CBP). Daarbij zijn ze ook verplicht aan te tonen dat ze redelijkerwijs alles hebben gedaan om die inbreuk te voorkomen. Dat kan relatief eenvoudig door gebruik te maken van encryptie, maar ondanks alle aandacht die de meldplicht inmiddels in de pers heeft gekregen, geloven wij niet dat alle bedrijven daar per 1 januari klaar voor zijn. Het wachten is waarschijnlijk op de eerste grote rechtszaak voordat de boel hier echt in beweging komt. Het enige voordeel dat we hebben is, dat tegen de tijd dat de Europese wetgeving ingaat, hier in Nederland de ergste rechtszaken al voorbij zullen zijn.”
John Shaw, VP Product Management voor Sophos, bracht vandaag het volgende statement naar buiten over de aanstaande Europese privacy wetgeving:
John Shaw: “We are pleased to see the final proposal for the reform of the EU data protection regulation and directive which will replace the current outdated laws from 1995. When formally adopted by the European Parliament and Council at the beginning of 2016, this will be a landmark regulation since it will harmonise 28 different law enforcement systems relating to data protection rights. We see this as a vital step forward in providing consistency across borders and ultimately in helping to provide better protection for citizens’ data.
“We strongly agree with Andrus Ansip (EC Vice-President for the Digital Single Market) that privacy and data protection should not hold back economic activity. Although there is still plenty of work to be done, once formally adopted by the European Parliament, we believe that the new regulation will provide much clearer guidelines to both citizens of the 28 EU countries on how they can expect their data to be treated, and to industry on what is legally expected of them in their treatment of citizens’ data. The new regulation should therefore make data protection a board-level issue, since this is a signal to companies of all sizes across the EU that they need to get more serious about the need to protect their customers’ data. While this is going to mean work and change for many companies, the EU economy will ultimately benefit as customers become more confident transacting online with EU companies.
“The fact that fines will be consistent across the EU – up to 4% of Global Revenue – will provide a fairer, clearer approach to enforcing data protection. In addition, the proposal that National Data Protection authorities will have the power to impose fines on companies directly, instead of having to go through the courts, should make it easier and quicker to take action. Those outside the EU will also need to pay attention as the law applies to all companies that hold data on European citizens, regardless of whether that company has an EU base or not.”
Infographic Meldplicht datalekken