03 December 2014   | 0
Security

Richtlijn 95 stelt bedrijven voor privacyvraagstuk

Richtlijn 95 stelt bedrijven voor privacyvraagstuk

Een nieuwe privacywetgeving is in de maak. Bedrijven met meer dan 250 medewerkers moeten rekening houden met veranderingen.

De nieuwe Europese richtlijn 95 over databescherming stelt bedrijven voor een heuse deadline. Een ontwerptekst is in maart 2014 goedgekeurd door het Europees parlement, wat wil zeggen dat deze zo goed als zeker in werking gaat treden. Uiterlijk in 2016 moeten bedrijven met meer dan 250 medewerkers en organisaties die jaarlijks gegevens van meer dan vijfduizend personen verwerken, een Privacy Officer in dienst hebben. Deze moet gegevensverzamelingen in kaart brengen, weten wie eigenaar is van data en passende veiligheidsmaatregelen nemen.

Bedrijven zelf verantwoordelijk

Een aantal grote bedrijven en overheden hebben al zo’n privacyfunctionaris, maar het merendeel nog niet. Dat zeggen deskundigen in een artikel over de nieuwe privacywetgeving in het vakblad CIO Magazine. Nu nog is het voldoende voor elk bedrijf dat persoonsgegevens verwerkt om deze aan te melden bij het College Bescherming Persoonsgegevens. Deze verplichting verdwijnt en de verantwoordelijkheid komt volledig te liggen bij de Privacy Officer. De Privacy Officer moet dan het compliance-beleid maken en adviseert zijn/haar organisatie over verwerking van persoonsgegevens in relatie tot de bedrijfsdoelen waarvoor deze dienen.

Een van de deskundigen die aan het woord komt in CIO Magazine is Michael Maunder-Cockram, Security Officer bij Fujitsu Nederland. Hij verwacht dat de toezichthouder meer slagkracht gaat krijgen door de invoering van de wet. Nu nog reageert deze vrijwel alleen op zaken die een grote publieke impact hebben. Bedrijven komen daardoor in aanraking met problematiek waarmee zij zich nog nooit bezig hebben gehouden. “In veel bedrijven zijn helemaal geen mensen aanwezig die de staat van de techniek kunnen afzetten tegen passende maatregelen en risicoanalyses. Bovendien is er veel ruimte voor interpretatie van de richtlijn, waardoor bedrijven kwetsbaar blijven.”

Wildgroei aan databases

Wil een organisatie op tijd klaar zijn voor de nieuwe wetgeving, dan moet deze nu echt beginnen. Maunder Cockram: “Het inventariseren van persoonsgegevens en het opbouwen van awareness in de organisatie is een langdurig proces.” Binnen Fujitsu Nederland is privacy al langer een onderwerp dat aandacht krijgt, bijvoorbeeld door de ISO 27001-certificering waarin informatiebeveiliging en privacy een rol hebben. Elke organisatie moet echter oog blijven houden voor de wildgroei van gegevensverzamelingen, die overal kan ontstaan. “Medewerkers leggen vaak eigen databases aan, niet de wet te overtreden maar om zelf efficiënter te kunnen werken. Dat gebeurt vrijwel overal en is een maatschappelijk onderbelicht probleem.”

Door deze site te te blijven gebruiken, gaat u akkoord met het gebruik van cookies. meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring te bieden. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen. Wij gebruiken cookies van Google Analytics om het bezoekersgedrag te analyseren teneinde de gebruikerservaring te verbeteren. Deze gegevens zijn niet naar u persoonlijk te herleiden.

Sluiten