Blog

| BLOG: WET- EN REGELGEVING |


 

Bedrijven moeten aan veel wet- en regelgeving voldoen. Dit geldt ook voor het bewaren en verwerken van persoonsgegevens, maar er zijn ook andere wetten en regels die van invloed zijn op het inrichten van de ICT-systemen.

Bij de meeste bedrijven is de Algemene Verordening Gegevensbescherming (AVG) wel bekend, echter zijn er veel meer wetten en regels die van invloed zijn op organisaties en computercriminaliteit, die niet altijd te maken hebben met het bewaren en verwerken van persoonsgegevens.

Daarom behandelen wij in deze blog ook een aantal andere belangrijke wetten, die van invloed zijn op de inrichting van uw ICT-systemen, die zeker niet vergeten mogen worden. Tevens geven we ook een aantal tips om te voldoen aan de AVG.

Wet computercriminaliteit

Het vervolgen van een crimineel die digitaal toegang heeft verschaft tot computer is niet altijd mogelijk. Als men er al achter komt wie de crimineel is, wat meestal niet het geval is, kunnen ze op basis van de Wet computercriminaliteit vervolgd worden. Dit is echter pas mogelijk wanneer er sprake is van computervredebreuk.

Er is pas sprake van computervredebreuk bij:

  • Doorbreken van de beveiliging
  • Een technische ingreep
  • Valse signalen of een valse sleutel
  • Het aannemen van een valse hoedanigheid

Dit betekent dat het altijd kenbaar moet zijn voor een potentiele dader dat hij zich op verboden terrein gaat begeven. In dit geval spreekt men niet van computervredebreuk en kan er niet tot vervolging worden overgegaan, omdat er ook sprake kan zijn van het “per ongeluk” verkrijgen van toegang door een ongeautoriseerde persoon.

Bedrijven dienen daarom te zorgen voor een goede toegangsbeveiliging en sterke encryptie op hun ICT-systemen om zo basale beveiliging op orde te hebben.

Bewaartermijnen

Er zijn diverse wetten waarin de minimale en maximale bewaartermijnen van documenten en/of gegevens worden gesteld. Denk hierbij aan het Burgerlijk Wetboek, Algemene wet bestuursrecht en de Algemene wet rijksbelastingen.

Onderstaand een opsomming van een aantal van deze termijnen:

  • Jaarrekeningen, accountantsverklaring en dergelijke moeten minimaal 7 jaar bewaard worden vanaf de datum van het opstellen.
  • De administratie van het aanvragen van subsidie moet minimaal 10 jaar bewaard worden vanaf de datum van het administreren.
  • Het grootboek, debiteurenadministratie, crediteurenadministratie, in- en verkoopadministratie, voorraadadministratie en loonadministratie moet 7 jaar vanaf 1 januari na het opstellen bewaard worden.
  • Arbeidsovereenkomsten moeten na 2 jaar na het einde van het dienstverband verwijderd zijn, echter moeten persoonsgegevens van werknemers (NAW en Burgerlijke staat) 7 jaar bewaard worden na het einde van het dienstverband.

Het is van belang om uw ICT-systemen op deze termijnen in te richten. Indien u de gegevens niet kunt aanleveren wanneer hierom gevraagd wordt, riskeert u een hoge boete.

Algemene Verordening Gegevensbescherming

Dan nog de beloofde tips omtrent de AVG. Zoals wellicht bekend is de AVG een verordening die burgers beschermd inzake de verwerking van hun persoonsgegevens. Persoonsgegevens zijn alle gegevens over een geïdentificeerde of identificeerbare persoon. Indien je als bedrijf niet voldoet aan deze verordening, riskeer je een boete, daarom een aantal do’s en don’ts:

Do:

  • Doe het juiste, wees altijd eerlijk en transparant over hetgeen je met de gegevens gaat doen.
  • Gebruik enkel de nodige gegevens.
  • Archiveer gegevens op een juiste en betrouwbare manier.
  • Bescherm de gegevens en zorg dat deze niet worden verspreid, enkel als dit wettelijk verplicht is.

Don’t:

  • Gebruik de gegevens nooit op een andere manier dan dat je hebt aangegeven.
  • Bewaar persoonsgegevens nooit als je ze niet meer gebruikt, tenzij dit wettelijk verplicht is.
  • Bewaar persoonsgegevens nooit als de klant vraagt om ze te verwijderen.
  • Bewaar sollicitatiebrieven en overige correspondentie omtrent de sollicitaties nooit langer dan 4 weken zonder toestemming en niet langer dan 1 jaar met toestemming van de sollicitant.
  • Bewaar opnames van beveiligingscamera’s nooit langer dan 4 weken of tot een incident is afgehandeld.

Daarnaast is het wettelijk verplicht om elk datalek te melden bij de Autoriteit Persoonsgegevens (AP). Als blijkt dat privacygevoelige data onvoldoende beveiligd is opgeslagen of verwerkt, resulteert dat in een bestuurlijke sanctionering door de AP tot 4% van de wereldwijde omzet of tot € 20 miljoen (!).

Bovenstaand een aantal wet- en regelgevingen die van invloed zijn op de inrichting van ICT-systemen. Indien u niet aan deze eisen voldoet riskeert u een hoge boete, bestaat de kans dat u wordt gehackt en daardoor uw data wordt gelekt. Daarnaast is het mogelijk dat criminelen niet worden vervolgd omdat ze niet “gewaarschuwd” zijn.

Wilt u meer informatie over de wet- en regelgeving die voor uw ICT-systemen van toepassing zijn en hoe u uw organisatie tegen mogelijke boetes kunt beschermen? Neem gerust contact met ons op!