De 7 belangrijkste wetten en regels met betrekking tot informatiebeveiliging en privacy

lady-justice-2388500_1280.jpg

De ontwikkelingen op het gebied van wet- en regelgeving met betrekking tot informatiebeveiliging en privacy gaan snel. Met de invoering van de AVG in mei 2018 zijn organisaties zich bewuster geworden van het belang van het nemen van passende maatregelen om veilig met (persoons)gegevens om te gaan. Maar welke wetten en regels zijn er allemaal? En wat houden deze wetten in? Hieronder de 7 belangrijkste wetten en regels in een notendop.

1. Europese privacywet AVG

De Europese privacywet AVG (Algemene Verordening Gegevensbescherming) stelt eisen aan de wijze waarop organisaties omgaan met persoonsgegevens. Onder andere: meldplicht datalekken, boetes tot 20 miljoen euro, privacy impact analyse, functionaris gegevensbescherming. De Europese privacywet, die per 25 mei 2018 van kracht is geworden, geldt voor alle lidstaten van de Europese Unie. Deze Europese wet verving de Nederlandse Wet bescherming persoonsgegevens (Wbp). Inhoudelijk is de AVG zowel ruimer van toepassing als strenger qua sancties vergeleken met de oude wet. Belangrijk verschil is dat de AVG meer nadruk legt op de verantwoordelijkheid van organisaties zelf om de wet na te leven én om te kunnen aantonen dat zij zich aan de wet houden.

2. Persoonsgegevens buiten Europa

Persoonsgegevens verwerken buiten Europa? Dit is gebonden aan strikte regels. Volgens de AVG is het verboden om zonder aanvullende afspraken, persoonsgegevens te laten verwerken door landen buiten de Europese Unie. Het idee hierachter is dat de lokale wetten in landen buiten de EU niet controleerbaar zijn en dus risico’s opleveren ten aanzien van de bescherming van persoonsgegevens. Ook de Verenigde Staten wordt door de Europese Commissie aangemerkt als een land zonder passend beschermingsniveau. Dat komt doordat de Amerikanen de privacy van buitenlanders niet of nauwelijks beschermen. De Amerikaanse privacywetgeving geldt op dit moment alleen voor inwoners van de VS, waardoor er geen juridische grondslag is voor de bescherming van buitenlanders. Door gebruik te maken van Europese modelcontracten is het wel mogelijk is om (persoons)gegevens door Amerikaanse (cloud)leveranciers te laten verwerken.

3. Wet gegevensverwerking en meldplicht cybersecurity

De wet regelt dat organisaties wiens diensten of producten van vitaal belang zijn voor de Nederlandse samenleving een meldplicht hebben. Deze zijn verplicht om alle beveiligingsincidenten te melden, ook als hier geen persoonsgegevens bij betrokken zijn. Deze meldplicht kent geen sanctiemogelijkheid en is primair gericht op het bieden van hulp aan de getroffen organisatie. Meldingen worden gedaan aan het ministerie van Veiligheid en Justitie en worden behandeld door het Nationaal Cyber Security Centrum (NSCS).

4. Wet computercriminaliteit III

De wet computercriminaliteit III voorziet in meer bevoegdheden voor opsporingsinstanties. Deze wet wordt ook wel hackwet genoemd. De wet Computercriminaliteit regelt dat criminaliteit met ICT als middel én doelwit (ook wel cybercrime genoemd) strafbaar is. In de wet is opgenomen wat wordt verstaan onder computercriminaliteit, op welke wijze het wordt bestraft, én welke bevoegdheden de overheid heeft bij het bestrijden en opsporen hiervan.

5. Wet op de inlichtingen- en veiligheidsdiensten

De Wet op de inlichtingen- en veiligheidsdiensten regelt onder meer bevoegdheden voor inlichtingendiensten. Deze wet wordt ook wel aftapwet genoemd. In deze wet is onder andere geregeld dat inlichtingen- veiligheidsdiensten ongericht op kabels mogen aftappen (dit geldt ook voor mobiele telefoons omdat zendmasten via kabels aangesloten zijn). Dit geeft de mogelijkheid om grootschalig internetverkeer af te kunnen luisteren van alle Nederlanders.

6. Wet openbaarheid bestuur

De Wet openbaarheid bestuur maakt het mogelijk om informatie over bestuurlijke aangelegenheden op te vragen bij de overheid. Informatie over security en privacy aangelegenheden vallen hier ook onder. De wet garandeert eenieder de mogelijkheid om informatie over een bestuurlijke aangelegenheid bij een bestuursorgaan (ministerie, provincie, gemeente, etc) op te vragen.

7. Cookiewet

De cookiewet verplicht websites om in bepaalde omstandigheden de bezoekers te informeren en toestemming te vragen bij het gebruik van cookies. De cookiewet verplicht websites bezoekers te informeren en toestemming te vragen bij het gebruik van cookies.

#Aim2Secure

Hirschel HesselAim2secureLegal, wet-en-regelgeving