of 59318 LinkedIn

Privacy-zaken: gratis Wi-Fi en de invoering van de wet meldplicht datalekken

Reageer

Afbeeldingmr. ing. J. Scholtens (Jasper)

 

Het aanbieden van gratis toegang tot het internet via Wi-Fi lijkt voor gemeenten op het eerste gezicht een interessante activiteit. Het is voor bezoekers van de gemeente een aantrekkelijke dienst en voor de gemeente zou het Wi-Fi-gebruik interessante (statistische) gegevens kunnen opleveren, bijvoorbeeld over het aantal bezoekers van de gemeente of de concentratie van die bezoekers op bepaalde plekken op bepaalde tijdstippen.

Het is echter de vraag of gemeenten zich voldoende realiseren dat zij met het aanbieden van gratis Wi-Fi mogelijk ‘persoonsgegevens’ gaan verwerken, waardoor deze activiteit binnen het bereik van de Wet bescherming persoonsgegevens (WBP) komt, met alle restricties en risico’s van dien.

 

Zo is het bijvoorbeeld de vraag in hoeverre het is toegestaan om gegevens van gebruikers van het Wi-Fi- netwerk, zoals het unieke (MAC-)adres van het apparaat dat op het Wi-Fi-netwerk inlogt, te ‘verwerken’. Naast het feit dat rekening gehouden moet worden met de WBP zou een Wi-Fi netwerk mogelijk ook moeten voldoen aan de eisen die door de Telecommunicatiewet (TW) aan openbare netwerken worden gesteld.

 

Gemeenten doen er daarom goed aan om, indien zij een Wi-Fi-netwerk ter beschikking willen stellen aan het publiek, te onderzoeken of zij voldoen aan onder meer de WBP en de TW. Ook zou het beschikbaar stellen van een Wi-Fi-netwerk mogelijk tot extra beveiligingsrisico’s kunnen leiden.

Daarbij is het van belang dat met ingang van 1 januari 2016 een aantal ingrijpende wijzigingen plaatsvindt in het Nederlandse privacyrecht. Het College Bescherming Persoonsgegevens wordt omgedoopt tot Autoriteit Persoonsgegevens en de Wet meldplicht datalekken wordt ingevoerd (Stb. 230, 2015).

 

De Wet meldplicht datalekken voegt aan de WBP een verplichting voor de ‘verantwoordelijke’ (vaak de gemeente) toe om datalekken met betrekking tot ‘persoonsgegevens’ te melden aan de Autoriteit Persoonsgegevens en in bepaalde gevallen ook aan de ‘betrokkenen’. In haar (concept-)richtlijnen gaat de Autoriteit Persoonsgegevens ervan uit dat uiterlijk op de tweede werkdag na de ontdekking van het incident gemeld moet worden. Als gebruik wordt gemaakt van een externe partij als ‘bewerker’ zullen goede afspraken gemaakt moeten worden met die externe partij over het tijdig en volledig verstrekken van informatie over incidenten, om zelf in staat te zijn tijdig te melden. Het is daarnaast sterk aan te raden om een draaiboek op te stellen voor datalekken, zodat duidelijk is wat er moet gebeuren op het moment dat zich een datalek voordoet.

 

Overtreding van de meldplicht datalekken en een aantal andere bepalingen uit de WBP, kan vanaf 1 januari 2016, indien sprake is van opzet, ernstig verwijtbare nalatigheid of het niet opvolgen van een bindende aanwijzing, leiden tot boetes van maximaal € 810.000,- of, als dat hoger is, 10% van de omzet van een organisatie. Een fors risico dus. Vermoedelijk zal de Autoriteit Persoonsgegevens vanaf 1 januari 2016 ook daadwerkelijk gaan handhaven, al was het maar om voorbeelden te stellen.

Ook zou de nieuwe wetgeving en de berichtgeving daaromtrent ertoe kunnen leiden dat ‘betrokkenen’, meer dan nu het geval is, gebruik zullen gaan maken van de rechten die zij op grond van de WBP hebben.

 

Het lijkt daarom voor gemeenten van belang om te onderzoeken in hoeverre zij als ‘verantwoordelijke’ en/of ‘bewerker’ persoonsgegevens verwerken en in hoeverre die verwerking voldoet aan alle eisen die de WBP stelt.

 

In de nabije toekomst vinden mogelijk nog verdere wijzigingen van het privacyrecht plaats. Op Europees niveau bevinden de onderhandelingen over de Privacyverordening zich in een vergevorderd stadium.

Verstuur dit artikel naar Google+

Reageer op dit artikel
Even geduld a.u.b.