Informatiebeveiliging

Data is het nieuwe goud en om die reden erg gewild. Of het nu gaat om geclassificeerde bedrijfsinformatie of persoonsgegevens, alle vormen van informatie kunnen een aanzienlijke waarde hebben. Als persoonsinformatie in verkeerde handen valt, kan dit vele ongewenste gevolgen hebben, zoals manipulatie van informatie of identiteitsfraude. En niet te vergeten, reputatieschade en financiële consequenties voor de organisatie. Omdat de gevaren van falende beveiligingssystemen groot zijn en de gevolgen van cyberincidenten vaak niet te overzien, is nalatigheid op het gebied van informatiebeveiliging tegenwoordig zelfs strafbaar.

Wetgeving met betrekking tot informatiebeveiliging was tot voor kort vastgelegd in de Wet bescherming persoonsgegevens (Wbp), maar deze is halverwege vorig jaar vervangen door de Algemene verordening gegevensbescherming (AVG). Ook de Telecommunicatiewet, de e-Privacy Verordening en de netwerk- en informatieveiligheid (NIB-Richtlijn) verplichten organisaties en bedrijven risicogericht met verschillende vormen van informatie om te gaan.

Met de invoering van de AVG hebben veel bedrijven en organisaties zich opnieuw moeten verdiepen in de manier waarop zij informatie beheren. Dit dossier biedt een overzicht van wat momenteel speelt op het gebied van informatiebeveiliging gerelateerd aan privacy en helpt u binnen dit thema op weg.

Algemene verordening gegevensbescherming (AVG)

De Algemene verordening gegevensbescherming (AVG) vervangt de Wet bescherming persoonsgegevens (Wbp) en zorgt ervoor dat binnen de Europese Unie (EU) dezelfde privacywetgeving geldt. De AVG zorgt voor versterking en uitbreiding van privacyrechten, meer verantwoordelijkheden voor organisaties en biedt alle Europese privacytoezichthouders extra bevoegdheden om de nieuwe wetgeving te handhaven.

e-Privacy Richtlijn

e-Privacy regelt de verwerking van persoonsgegevens voor elektronische communicatiemiddelen en vormt samen met de Algemene verordening gegevensbescherming (AVG) het juridische kader dat de digitale privacy voor burgers uit de Europese Unie (EU) moet verzekeren. Denk hierbij aan de regelgeving omtrent het gebruik en beheer van cookies, of aan de regelgeving wat betreft telemarketing. De e-Privacy Richtlijn zal naar alle waarschijnlijkheid in de loop van 2018 worden vervangen door de e-Privacy Verordening. Dit betekent dat de e-Privacy-wetgeving overal binnen de EU hetzelfde zal zijn.

Telecommunicatiewet

De Telecommunicatiwet is per 1 oktober 2009 in werking getreden en gaat onder meer over frequentiebeleid, beleid van telefoonnummers, consumentenbescherming en privacybescherming. Artikel 11.7a hangt samen met de Wet bescherming persoonsgegevens (Wbp) en gaat over het opslaan van of toegang verkrijgen tot informatie in de randapparatuur van een gebruiker. De Wbp is per 25 mei 2018 vervangen door de Algemene verordening gegevensbescherming (AVG). De Telecommunicatiewet zal door de e-Privacy Verordening worden vervangen wanneer deze in werking treedt.

Netwerk en InformatieBeveiliging (NIB-Richtlijn)

De Europese NIB-Richtlijn wordt momenteel omgezet naar Nederlandse wetgeving, onder de naam Wet beveiliging netwerk- en informatiesystemen (Wbni). De wet, waarvan het doel is Europa digitaal veiliger te maken door de digitale weerbaarheid te vergroten en de gevolgen van cyberincidenten te verkleinen, is mei 2018 door de Tweede Kamer aangenomen en zal in juni 2018 door de Eerste Kamercommisie voor Justitie en Veiligheid (J&V) worden besproken. Aanbieders van (essentiële) digitale- diensten krijgen met de nieuwe wetgeving te maken.

Wet gegevensverwerking en meldplicht cybersecurity (Wgmc)

Op 1 oktober 2017 is de Wet gegevensverwerking en meldplicht cybersecurity (Wgmc) in werking getreden. In het Besluit meldplicht cybersecurity is vastgesteld voor welke vitale aanbieders en producten en diensten de meldplicht gaat gelden. In de wet is tevens een meldplicht opgenomen voor ernstige digitale veiligheidsincidenten die de samenleving kunnen ontwrichten.

Wet beveiliging netwerk- en informatiesystemen (Wbni)

Per 9 november 2018 geldt de Wet beveiliging netwerk- en informatiesystemen (Wbni). De Wbni volgt op de NIB-richtlijn van de Europese Unie, die moet zorgen voor meer eenheid in beleid over netwerk- en informatiebeveiliging. Vanwege de inhoudelijke samenhang en overlap met de Wet gegevensverwerking en meldplicht cybersecurity (Wgmc) is ook die, zonder inhoudelijke wijzigingen, geïncorporeerd in de Wbni.