Ondernemerszaken: rijschoolhouders moeten per 1 januari 2016 klantgegevens beter beveiligen

Schadeclaims en hoge boetes kunnen vanaf 1 januari 2016 worden opgelegd aan ondernemers die zich niet houden aan de nieuwe wijzingen in de Wet bescherming persoonsgegevens. Een datalek, verlies of diefstal van klantgegevens kunnen rijschoolhouders zich niet meer veroorloven.

De VerkeersAcademie

— Advertentie —

Alle bedrijven en overheidsinstanties zijn vanaf 1 januari 2016 verplicht om een ernstig datalek direct te melden aan de Autoriteit Persoonsgegevens. Midden- en kleinbedrijven kunnen een boete van € 820.000 of 10 % van de jaaromzet verwachten als zij zich niet houden aan de nieuwe richtlijnen.

USB-stick of laptop kwijt?

Pijnpunt is de meldplicht datalekken — een verplichting om direct een melding te doen bij het College bescherming persoonsgegevens (CBP) als er sprake is van een ernstig datalek waarbij gegevens van leerlingen zijn verloren of gestolen. Het gaat niet alleen om computerkrakers, ook het onrechtmatig verwerken van gegevens, een kwijtgeraakte usb-stick, of een gestolen laptop vallen onder het richtsnoer. “De verwachting is dat beveiliging van persoonsgegevens een veel hogere prioriteit krijgt bij de ontwikkeling van producten en diensten. De meldplicht datalekken is geen doel op zich, maar een middel om te zorgen dat datalekken worden voorkomen”, zegt CBP-voorzitter Jacob Kohnstamm.

Leerlingen moeten worden geïnformeerd

In de nieuwe wet moeten ook rijschoolhouders aantonen dat ze niet nalatig zijn geweest. Als klantgegevens van leerlingen op straat liggen, zit daar een meldingsplicht aan vast en rijscholen moeten cursisten op de hoogte stellen van eventuele computerhacks, verlies of diefstal van gegevens. Zodra klantgegevens op straat liggen moeten ondernemers binnen 72 uur kunnen aantonen dat er voldoende maatregelen zijn genomen om zwaktes in het systeem te dichten. De eindverantwoordelijke voor gevoelige data, is ook eindverantwoordelijk voor de beveiliging daarvan. 

Bewerkersovereenkomst

Rijschoolhouders hebben vaak onvoldoende IT-kennis om persoonsgegevens goed te beveiligen. Omdat voor een ondernemer niet te doorgronden is of de partijen waarmee hij samenwerkt de juiste maatregelen getroffen hebben, raadt ICT-jurist Engelfriet ze aan om een bewerkersovereenkomst op te stellen. Dat is een wettelijk verplicht document voor ondernemers die het verwerken van persoonsgegevens bij een andere partij willen uitbesteden. Het biedt de mogelijkheid om partijen vooraf verantwoordelijk te stellen bij mogelijke nalatigheid. ‘De vraag daarnaar neemt enorm toe’, aldus de ICT-jurist.

Bron: FD.nl