Dataprotectie: wat zal er veranderen?

Het project is controversieel omdat de eisen zo hoog zijn en de boetes streng. Voor de specialisten daarentegen is de nieuwe Europese wetgeving over databescherming uitstekend nieuws: dat er geen solide beleid en wettelijk conform beleid bestonden voor het beheren van informatie, was onvergeeflijk.

Deze nieuwe wetgeving, voorgesteld door Viviane Reding, vicevoorzitter van de Europese Commissie en Justitiecommissaris, zal de Europese Richtlijn voor gegevensbescherming 95/46 vervangen, een zeer belangrijk onderdeel van de Europese wet over Privacy en Mensenrechten, die nu sinds dertien jaar door bedrijven wordt gebruikt als referentie. Samengevat zal de nieuwe wetgeving voor tal van bedrijven de administratieve conformiteitvereisten verminderen; daar staat tegenover dat ze zware voorwaarden oplegt op het vlak van bescherming, erkenning en communicatie van gegevensschending. Bovendien zal de reglementering strengere boetes opleggen aan bedrijven die niet beantwoorden aan de wettelijke vereisten.

"Tal van bedrijven van iedere grootte zijn totaal niet op de hoogte van wat er nodig is om hun informatie op verantwoordelijke wijze te beheren," meent Christian Toon, Head of Information Security, Iron Moutain. "In onze professionele omgeving die tegenwoordig alsmaar meer wordt bewaakt, is de afwezigheid van een degelijk beleid voor het beheren van informatie simpelweg onvergeeflijk. Zich ervan verzekeren dat informatie over werknemers en klanten beschermd is, zou een courante praktijk moeten zijn - geen reactie op een nieuwe wetgeving. Bedrijven die niet weten hoe ze eraan moeten beginnen zouden de aanbevelingen ISO 27002 moeten bestuderen..."

Het project van het Europese voorstel, dat onlangs werd onthuld, onderlijnd drie basisvereisten die - als ze in de uiteindelijke reglementering worden geïntegreerd - een invloed van lange termijn zullen hebben op het leven van tal van Europese bedrijven.

De Europese Commissie beveelt aan dat de betrokken autoriteiten voor databescherming en alle betrokken personen verwittigd moeten worden binnen 24 uur van een schending op het vlak van databeveiliging, ook als het gaat om een niet-geautoriseerde vernietiging of het verlies van gegevens; de autoriteiten voor databescherming moeten verwittigd worden, zelfs als er geen risico is voor de gegevens.

"De grote vraag is of de professionele gemeenschap zichzelf discipline zal willen en kunnen opleggen. Als dat niet gebeurt, zouden bedrijven wel eens aan regelmatige inspecties van de wettelijk bevoegde administraties kunnen worden onderworpen. De definitie van "schending" moet opgehelderd worden. Moet dit bijvoorbeeld afhangen van het aantal registraties of betrokken documenten? Of van het soort informatie dat is gestolen? Dan blijft het nog zo dat bedrijven zich zouden moeten voorbereiden op beide zaken."

De verantwoordelijken voor databeveiliging zullen verplicht zijn voor alle openbare instanties en alle instellingen van meer dan 250 werknemers.

"Het zal kosten met zich meebrengen die niet waren voorzien. Dat wil zeggen dat bedrijven er alle baat bij hebben om zich de wetgeving nu al toe te eigenen door deze kosten te integreren. Een verantwoordelijke voor de databeveiliging benoemen is voortaan in Duitsland al verplicht. Tal van bedrijven genieten van de mogelijkheid om deze bijkomende verantwoordelijkheid toe te vertrouwen aan een werknemer die over de gewenste kwalificatie beschikt. Over een specifieke persoon beschikken die zich bezighoudt met de veiligheid van gegevens is hoe dan ook een goede professionele praktijk."

Overeenkomstig het wetsvoorstel zouden de bevoegde autoriteiten de macht hebben om boetes op te leggen die kunnen gaat tot een miljoen EUR of, in het geval van een bedrijf, tot 5% van de jaarlijkse wereldwijde omzet als het de wetgeving niet volgt.

"5% van de wereldwijde omzet is een enorme som en potentieel vernietigend voor de meeste bedrijven. Dat Europa bereid is om een boete van een dergelijk niveau goed te keuren, geeft duidelijk aan in welke mate databescherming serieus wordt genomen. Bedrijven moeten niet panikeren, ze moeten zich alleen voorbereiden. Over plannen beschikken om toegang te krijgen tot hun gegevens en ze op te slaan, hun werknemers vormen, dat zijn de eerste stappen. Zo gaan ze de goede richting uit en, misschien binnenkort, in de richting van de wet."