Vanaf 25 mei 2018 gaat nieuwe regelgeving gelden die wordt gebaseerd op de Algemene Verordening Gegevensbescherming (AVG) van 24 mei 2016. Cathérine Jakimowicz is advocaat bij SteensmaEven en Marlinde Westland is Managing Consultant Risk Management bij Quint Wellington Redwood. Ze brengen de risico’s voor organisaties in beeld en adviseren over informatiebeveiliging en privacy.
Sancties AP
Jakimowicz: ‘De Autoriteit Persoonsgegevens (AP) kan nu al boetes opleggen aan organisaties die de privacywetgeving overtreden. Naast boetes voor organisaties is in specifieke omstandigheden een persoonlijke boete voor bestuurders of managers als sanctie op datalekken mogelijk. Denk bijvoorbeeld aan een meldingsplichtig datalek waarbij de bestuurder verhindert dat de toezichthouder of betrokkenen hierover tijdig worden geïnformeerd. Een verandering in de nieuwe verordening is een ruimere sanctiebevoegdheid van de AP. Afhankelijk van de norm die wordt geschonden kan een boete oplopen tot maximaal twintig miljoen euro of vier procent van de jaaromzet van een organisatie.’
USP
Westland vult aan: ‘Strengere sancties en boetes zijn voor de meeste zorgaanbieders niet de drijfveer om hun informatiebeveiliging op orde te krijgen. Je wilt natuurlijk cliënten en patiënten de garantie kunnen geven dat hun persoonsgegevens veilig zijn. Zo wordt informatiebeveiliging een unique selling point.’
Bewust
Om ‘compliant’ te zijn met de AVG moet de organisatie tegen het licht gehouden worden en alle risico’s op lekken zo goed mogelijk afgedekt worden. ‘Men denkt dan vaak direct aan cyber security en allerlei technische oplossingen’, zegt Westland. ‘Dat is ook nodig. Maar het gaat vooral ook om menselijk handelen bij informatiebeveiliging. En dan niet alleen de mensen binnen de eigen organisatie, maar ook andere organisaties binnen het zorgnetwerk, waarmee je informatie deelt. Daarom interviewen wij eerst mensen binnen en buiten het bedrijf en komen dan met een assessment om te meten hoe bewust medewerkers zich van het belang van informatiebeveiliging zijn. Op basis van de uitkomsten, implementeren we dan samen met medewerkers binnen de organisatie de cultuuromslag, waardoor mensen bewuster omgaan met gevoelige gegevens.’