Kohnstamm, voorzitter van het College bescherming persoonsgegevens vertelde gisteren op BNR dat de privacytoezichthouder de regels over de beveiliging van persoonsgegevens gaat aanscherpen. Of eigenlijk dat hij die gaat uitwerken.
Daar is veel voor te zeggen. De tekst van de Wet bescherming persoonsgegevens biedt weinig houvast. Artikel 13 verlangt dat er ‘passende technische en organisatorische maatregelen’ ten uitvoer worden gelegd om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen moeten ervoor zorgen dat er ‘rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging‘ sprake is van ‘een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen‘.
Dat is een mooie opeenstapeling van vage en open normen. Uitwerking en concretisering daarvan is wel zo praktisch. Overigens heeft het CBP, of eigenlijk diens voorganger de Registratiekamer, al in 2001 een mooi en nog steeds actueel document opgesteld waarin wordt aangegeven hoe verschillende categorieen van gegevens te beveiligen. Maar de richtsnoeren daarin zijn erg op hoofdlijnen, dus bieden al met al niet zo veel houvast.
Interessant is dat in de berichtgeving over dit voornemen ook wordt gemeld dat de toezichthouder na de aanscherping makkelijker boetes opleggen aan bedrijven die niet zorgvuldig omgaan met klantgegevens. Zo’n boete zou volgens Kohnstamm uiteindelijk oplopen tot miljoenen euro’s.
Volgens mij voorziet de Wbp niet in dergelijke boetes. Wat Kohnstamm waarschijnlijk heeft boedoeld is dat de teozichthouder zonodig een last onder dwangsom kan opleggen. Ofwel, een bedrijf of vooral overheidsinstantie dat zich niet houdt aan de regels kan door het CBP worden verplicht om maatregelen te nemen en als dat dan niet binnen een bepaalde termijn is gebeurd verbeuren er dwangsommen. Tenzij natuurlijk een voorzieningenrechter het dwangsombesluit zou schorsen.
CBP verscherpt regels klantgegevens
5 augustus 2009, 12:05 | BNR.nlHet College Bescherming Persoonsgegevens komt met scherpere regels voor de manier waarop klantgegevens in databases moeten worden beveiligd. Dat heeft CBP-voorzitter Jacob Kohnstamm aangekondigd op BNR Nieuwsradio.
,,Nu staat in de wet dat beheerders van databases voor een effectieve beveiliging moeten zorgen […] Dat is vrij algemeen geformuleerd’’, zo zegt Kohnstamm op BNR. Het CBP gaat de regels verder uitwerken en vervolgens strikt handhaven. De privacy-waakhond kan na de aanscherping makkelijker boetes opleggen aan bedrijven die niet zorgvuldig omgaan met klantgegevens. Zo’n boete kan volgens Kohnstamm uiteindelijk oplopen tot miljoenen euro’s.
Minister Hirsch Ballin van justitie startte vorige week een campagne waarin de burger wordt gewezen op veilig internetten, maar deze week bleek uit onderzoek van internetbeveiligingsbedrijf Networking4all dat er juist veel schort aan de beveiliging van klantgegevens van de overheid zelf.