Algemene verordening gegevensbescherming

06-07-2017

cyber 14-2

Het lijkt nog ver weg, 25 mei 2018. Maar om verschillende redenen van groot belang om nu al bij stil te staan. Zeker gelet op de actuele gebeurtenissen van vorige week. Daarover later meer.

Algemene verordening gegevensbescherming (Avg)

In Nederland kennen we al vele jaren de Wet bescherming persoonsgegevens (Wbp). Deze wet wordt 25 mei 2018 afgeschaft en vervangen door de Algemene verordening gegevensbescherming (Avg). Vanaf die datum geldt dezelfde privacywetgeving in de hele Europese Unie.

Of je nu wilt of niet, het zorgvuldig omgaan met privacygevoelige gegevens houdt ons allen bezig. Althans, dat zou in elk geval moeten. Dat de Europese wetgeving pas volgend jaar van toepassing is, doet hier niets aan af.

Twee belangrijke uitgangspunten van het omgaan met persoonsgegevens blijven overeind.

  1. Voordat persoonsgegevens worden verwerkt, dient een doel te zijn bepaald waarvoor de gegevens gebruikt worden.
  2. Gegevens mogen alleen worden verwerkt als daar een legitieme grondslag voor is.

Legitieme grondslagen

De Wbp kent zes legitieme grondslagen:

  • toestemming;
  • een wettelijke verplichting;
  • vitaal belang (als het om leven/dood gaat);
  • publiekrechtelijke taak;
  • gerechtvaardigd belang; en
  • uitvoering van een overeenkomst.

Met name deze laatste grondslag is vaak aan de orde waar het (collectieve) inkomens-verzekeringen betreft.

De verzekeringsbranche

Op een aantal onderdelen laat de Avg ruimte voor nationale wetgeving. De invulling van deze ruimte wordt geregeld in de nog aan te nemen Nederlandse Implementatiewet Avg. Een van die onderdelen betreft de verzekeringsbranche. Voor deze branche wordt bijvoorbeeld geregeld dat verzekeraars en adviseurs voor het afsluiten en beheren van verzekeringen een uitzondering genieten op het verbod om (bijzondere) persoonsgegevens te verwerken. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens betreffende iemands gezondheid.

De ‘verantwoordelijke’ en de ‘bewerker’

De privacywetgeving kent een belangrijk onderscheid. Namelijk het verschil tussen een ‘verantwoordelijke’ en een ‘bewerker’. De verantwoordelijke is diegene die het doel en de middelen van de verwerking van persoonsgegevens bepaalt en die het verwerken van de persoonsgegevens initieert. Als we kijken naar de inkomensverzekeringen, gaat het dus meestal om de verzekeraar als verantwoordelijke. De bewerker (bijvoorbeeld Sovib) verwerkt persoonsgegevens slechts ten behoeve van de verantwoordelijke.

Ook voor u als werkgever verandert er het nodige. Zo krijgen uw medewerkers meer rechten onder de Avg. Betrokkenen hebben recht op informatie over:

  • het doel van de verwerking;
  • welke gegevens er worden verwerkt;
  • met wie die gegevens worden gedeeld; en
  • waar de gegevens vandaan komen.

Kortom, privacybescherming staat in toenemende mate in de belangstelling. Het zorgvuldig omgaan met persoonsgegevens is een onderwerp dat ook zorginstellingen raakt.

Cyberaanval

Dat het van groot belang is dat de gegevens binnen en van uw organisatie veilig zijn opgeborgen, werd vorige week eens te meer duidelijk. Een wereldwijde aanval met ransomware legde een aantal bedrijven en instellingen compleet stil. Ook in Nederland. Bij de vorige cyberaanval, WannaCry genaamd, werden verschillende Nederlandse ziekenhuizen geïnfecteerd. Dergelijke aanvallen zorgen voor grote problemen. Het werk op hele afdelingen kan zomaar stil komen te liggen. Een ander risico is dat hackers privacygevoelige gegevens tot hun beschikking krijgen. Zo’n datalek heeft enorme gevolgen. In de Wbp is bepaald dat een datalek direct bij de Autoriteit Persoonsgegevens gemeld dient te worden. Daarnaast dienen betrokkenen in kennis te worden gesteld.

Wat kunt u doen?

Meer dan ooit is het belangrijk om niet alleen zorgvuldig om te gaan met (het verwerken van) privacygevoelige gegevens en het veilig ‘opbergen’ van deze gegevens. Ook zult u zich moeten wapenen tegen cyberaanvallen van buiten. De preventie spitst zich onder andere toe op de menselijke bewustwording en alertheid van uw medewerkers. Maar ook op technisch vlak zijn er maatregelen te treffen die uw organisatie kunnen beschermen. Bijvoorbeeld door het blokkeren van bepaalde type-bestanden en het maken van back-ups.

Wat kunnen wij voor u betekenen?

Met het gespecialiseerde bedrijf Hoffmann BV is een scan ontwikkeld waarmee, tegen lage kosten, binnen een paar dagen antwoord wordt gegeven op de vraag hoe ‘cyberproof’ uw organisatie is en welke maatregelen nodig of wenselijk zijn.

Ongeacht hoe ‘cyberproof’ uw organisatie ook is, helemaal waterdicht wordt het helaas nooit. En omdat de gevolgen van een cyberincident verstrekkend kunnen zijn, is het raadzaam een cyberverzekering af te sluiten.

Onze cyberverzekering voor de zorgsector biedt dekking voor een cyberincident waarbij sprake is van ransomware. Als u slachtoffer bent van een dergelijke elektronische gijzeling, kan er een beroep worden gedaan op de cyberverzekering. In zo’n geval is er sprake van afpersing. Immers, de criminelen zijn alleen bereid de gijzeling op te heffen na betaling van een afkoopsom (het losgeld). De dekking van de cyberverzekering omvat in dat geval niet de betaling van de afkoopsom, maar wel de kosten die moeten worden gemaakt om de gijzeling op een andere manier ongedaan te krijgen, alsmede de geleden gevolgschade in de vorm van bedrijfsschade door een netwerkonderbreking.

Nadere informatie

Heeft u vragen of wenst u een nadere toelichting? Wij horen graag van u.

Uitgelicht

  • 2019
  • 2018
  • 2017
  • 2016
  • 2015
  • 2014