De ‘Richtsnoeren beveiliging van persoonsgegevens’, die het College Bescherming Persoonsgegevens (CBP) onlangs publiceerde, zijn vandaag van kracht geworden. Het gaat om een verduidelijking van geldende wetgeving, aldus de toezichthouder, niet om nieuwe regels.
Het CBP onderzocht afgelopen jaar 28 beveiligings- en datalekken, waarbij werd beoordeeld of organisaties ‘passende beveiligingsmaatregelen’ hadden genomen. In de richtsnoeren legt het CBP vooral uit hoe het zelf te werk gaat om die vraag te kunnen beantwoorden. Daar zouden overheden en bedrijven hun voordeel mee kunnen doen, is de gedachte.
Datalekken
Het CBP-document is voorzien van praktijkvoorbeelden. Belangrijke thema’s zijn onder meer de verantwoordelijkheden voor de verwerking van persoonsgegevens door derden en de noodzaak tot een beleid voor eventuele datalekken. Volgens Arnoud Engelfriet van ICTRecht is dat laatste iets wat webwinkeliers en andere bedrijven nu ‘echt moeten gaan regelen.’
Juridisch kader
De Richtsnoeren beveiliging van persoonsgegevens (pdf, samenvatting hier in pdf) relateren de Wet bescherming persoonsgegevens (Wbp) aan de praktijk, maar scheppen op zichzelf geen nieuwe verplichtingen. ‘De wet is het juridische kader. Met de richtsnoeren willen we duidelijkheid bieden over wat wij van de beveiliging van persoonsgegevens verwachten’, aldus een woordvoerster tegen Binnenlands Bestuur.
Geen stok om mee te slaan
De richtsnoeren treden per vandaag in werking, maar dat betekent volgens de zegsvrouw niet dat het CBP een extra instrument heeft om organisaties aan te pakken. Het handhavingsdocument zal wel worden gebruikt bij onderzoek naar datalekken. ‘Het is niet een middel om harder mee op te treden, wel om duidelijker te maken waar we aan werken.’
‘Democratisch tekort’
Het CBP kreeg deze week kritiek te verduren van Thuiswinkel.org. De belangenvereniging voor webwinkeliers vindt dat het college in veel gevallen niet alleen als toezichthouder, maar ook als wetgever optreedt. ‘Daar waar zij vrijelijk aan het interpreteren slaan ontstaat er volgens mij een groot democratisch tekort en een onwenselijke disbalans’, blogde directeur Wijnand Jongen van zich af.
Technologieneutraal
Thuiswinkel.org hekelt de interpretatieruime die het CBP zich zou permitteren, met name waar het gaat om de Algemene Privacyrichtlijn van de Europese Unie. Het CBP diskwalificeerde de kritiek. Volgens voorzitter Jacob Kohnstamm moeten toezichthouders de regels nu eenmaal interpreteren, omdat die technologieneutraal zijn.
Volgens mij had het CPB al langer richtsnoeren online staan, wellicht zijn ze geüpdate. Zorgelijk is vooral het feit dat veel websites nog geen SSL gebruiken voor persoonsgegevens. Verder blijven simpelle maatregelen ter controle van de veiligheid vaak uit. Daar kan nog menig website meer prioriteit aan geven.