Nieuwe Europese regels voor informatieveiligheid op handen
30 januari 2012 -
Zaterdag 28 januari is door de Raad van Europa uitgeroepen tot European Privacy and Data Protection Day (EPDP). Inmiddels is uitgelekt dat Europa werkt aan strikte richtlijnen voor privacy en informatieveiligheid, die gehandhaafd zullen worden met stevige sancties die in de miljoenen lopen. Iron Mountain adviseert de ontwikkelingen niet af te wachten, maar nu al te handelen. Dat voorkomt boetes en levert met onmiddellijke ingang voordelen op.
De nieuwe richtlijnen die de Europese Unie (EU) in voorbereiding heeft, vervangen de bestaande EU Data Protection Directive 95/46 uit 1998, die een belangrijk onderdeel vormde van de regels over privacy binnen de EU.
Meer verantwoordelijkheid voor organisaties
De verwachting is dat de nieuwe richtlijnen ervoor zorgen dat bedrijven efficiënter aan de normen voor een verantwoord informatiebeleid kunnen voldoen. Verder zullen de nieuwe richtlijnen meer verantwoordelijkheid bij organisaties neerleggen om informatieveiligheid te borgen en eventuele inbreuk op informatieveiligheid te onderkennen en te melden. Bovendien kan de EU met de nieuwe regelgeving zware boetes uitdelen aan organisaties die niet voldoen aan de eisen.
Christian Toon, hoofd informatieveiligheid bij Iron Mountain Europe, vindt de nieuwe regelgeving goed nieuws voor consumenten en hij verwacht dat die ertoe leidt dat organisaties hun beleid op het gebied van informatiemanagement en –veiligheid met een kritische blik zullen doorlichten.
ISO 27002
"Veel organisaties schieten nu tekort in hun omgang met informatie," zegt Toon. "Omdat het toezicht steeds scherper wordt, is dit een goede aanleiding om een stevig en juridisch onderbouwd beleid voor informatiemanagement neer te zetten. Bedrijven moeten kunnen verzekeren dat hun informatie over klanten en medewerkers vertrouwd en veilig is. Dat staat los van hun omzet, en de sector of het land waarin een bedrijf actief is. Goed informatiebeleid hoort algemeen gangbaar te zijn en moet geen reactie op nieuwe regelgeving zijn. Organisaties kunnen een goed begin maken door de aanbevelingen in de ISO 27002-norm tot zich te nemen."
Drie pijlers
Het voorstel voor de nieuwe EU-richtlijnen lekte eind vorig jaar uit en heeft tot veel commotie geleid. De drie belangrijke pijlers waarop het rust, hebben namelijk verregaande consequenties voor de manier waarop Europese organisaties met informatie omgaan. Deze zijn:
Schendingen meteen melden Organisaties moeten schending van de vertrouwelijkheid, verlies of ongeoorloofde vernietiging van gegevens binnen 24 uur melden bij de getroffen personen en bij het College Bescherming Persoonsgegevens. Die laatste informatieveiligheidsinstantie moet ook worden geïnformeerd als er geen schade is toegebracht.
Toon: "Als de markt hier niet vrijwillig aan voldoet, zullen de betreffende overheidsinstanties bedrijven en organisaties onder toezicht plaatsen. Maar de definitie van de schending van de vertrouwelijkheid moet duidelijker omschreven worden. Gaat het bijvoorbeeld om de aantallen of de aard van de gegevensbestanden of documenten die openbaar zijn geworden? Organisaties zullen op beide opties voorbereid moeten zijn."
Aanstellen functionarissen
Informatieveiligheidsfunctionarissen zullen verplicht worden voor alle overheidsorganisaties en voor bedrijven met meer dan 250 werknemers. "De voorgenomen regels dwingen organisaties om hun beleid voor een veilig informatiebeheer te verbeteren en in de bedrijfsprocessen in te bedden. Het aanstellen van functionarissen brengt kosten met zich mee waar organisaties rekening mee moeten houden, maar waar ze nu ook al van kunnen profiteren," stelt Toon. "In Duitsland is zo’n aparte functionaris voor informatieveiligheid al verplicht. Bedrijven kunnen aan deze eis voldoen door het takenpakket van iemand met de juiste vaardigheden uit te breiden."
Boetes
In tegenstelling tot de bestaande richtlijnen, voorziet de nieuwe regelgeving in de bevoegdheid om boetes op te leggen tot één miljoen euro of, in het geval van een internationale onderneming, tot vijf procent van de jaarlijkse wereldwijde omzet. "Die vijf procent is in wezen fataal voor de meeste organisaties," meent Toon. "Dat de EU bereid is om zulke zware straffen op te leggen, geeft aan hoe serieus zij informatieveiligheid neemt. Bedrijven hoeven zich niet bedreigd te voelen, wel moeten ze voorbereid zijn. Met hun medewerkers moeten ze een helder beleid voeren voor het bewaren en gebruiken van informatie. Nu gaat het nog om een professionele bedrijfsvoering, straks ook om het voldoen aan de wetgeving."
