De Nieuw-Zeelandse privacywetgeving is veranderd - bent u er klaar voor?

Op 1 december is in Nieuw-Zeeland nieuwe privacywetgeving, de Privacy Act 2020, in werking getreden. De wet vergroot de mogelijke gevolgen voor organisaties die de privacy schenden - bijvoorbeeld wanneer persoonsgegevens van klanten worden gestolen door een hacker.

Wat betekent dit voor het bedrijfsleven?

De wet bepaalt dat een organisatie die het slachtoffer is van een inbreuk die personen ernstige schade berokkent of dreigt te berokkenen, zowel de getroffen personen als de commissaris voor de bescherming van de persoonlijke levenssfeer daarvan in kennis moet stellen. De wet geeft de Privacy Commissioner de bevoegdheid om een organisatie in verband met de inbreuk aanwijzingen te geven en legt boetes van maximaal 10 000 dollar per inbreuk op aan organisaties die een verzoek om persoonlijke informatie afwijzen of die informatie vernietigen nadat een verzoek daartoe is gedaan.

De nieuwe wet wil ook een maas dichten in de huidige wetgeving, de Privacy Act 199, die Google in 2018 toestond bevelen te negeren die in het kader van de wet waren opgelegd omdat het een in de VS gevestigd bedrijf is. Met de inwerkingtreding van de nieuwe wet is dat niet meer mogelijk.

Overzeese lichamen nu gedekt

Alle overzeese agentschappen die in Nieuw-Zeeland zaken doen, vallen onder de nieuwe wet, ongeacht of zij daar al dan niet wettelijk of fysiek aanwezig zijn. De wet is zelfs van toepassing indien de persoonsgegevens elders worden verzameld en bewaard of indien de persoon op wie de persoonsgegevens betrekking hebben in een ander land verblijft.

June Hardacre, senior associate bij het advocatenkantoor MinterEllisonRuddWatts, zegt echter dat er nog steeds wordt geworsteld met de vraag hoe de wet aan overzeese entiteiten moet worden opgelegd.

"Deze bepaling zal gevolgen hebben voor buitenlandse bedrijven die in het verleden hebben beweerd dat zij niet onder de Nieuw-Zeelandse wetgeving vallen omdat zij hier geen fysieke of wettelijke aanwezigheid hebben. De afdwingbaarheid van deze bepaling voor overzeese agentschappen zonder aanwezigheid in Nieuw-Zeeland is echter nog onduidelijk."

De mogelijkheid van dure uitbetalingen aan elke persoon van wie de gegevens zijn ingezien, moet organisaties ertoe aanzetten alle mogelijke maatregelen te nemen om een datalek te voorkomen.

De wet geeft "benadeelde personen" wier persoonlijke levenssfeer in het gedrang is gekomen, de bevoegdheid om bij het Human Rights Review Tribunal een procedure in te leiden in de vorm van een groepsactie. Het Tribunal heeft de bevoegdheid om tot 350 000 dollar toe te kennen als compenserende schadevergoeding voor de verliezen die elk lid van een dergelijke groepsactie heeft geleden.

Snelle reactiecapaciteit essentieel

Elke organisatie die gegevens over Nieuw-Zeelanders bewaart, moet degelijke beveiligingstechnologieën, -beleid en -procedures implementeren om ervoor te zorgen dat de privacy van de klant niet wordt geschonden. Zij moet ook beleid en procedures vaststellen om snel en adequaat te kunnen optreden in geval van een inbreuk op de privacy van gegevens.

Bewustmakingstraining van het personeel inzake cyberbeveiliging is essentieel, zowel om inbreuken te voorkomen als om snel en adequaat te kunnen reageren als er zich toch een inbreuk voordoet. De zwakste schakel in de keten van cyberbeveiliging is bijna altijd de mens. Bij meer dan 90% van alle inbreuken op de beveiliging zijn menselijke fouten betrokken.

Security awareness training is een van de meest effectieve manieren om uw cyberbeveiligingsrisico te verminderen. Een geslaagde training behandelt serieuze onderwerpen op een serieus grappige manier om uw werknemers erbij te betrekken en hun gedrag te veranderen. De aanpak moet zijn om de video's kort en luchtig te maken, zodat mensen erbij betrokken raken, terwijl een verscheidenheid aan menselijke foutgerelateerde beveiligingsrisico's en cyberhygiëne-onderwerpen zoals wachtwoorden, phishing, onbevoegde downloads, vishing en ransomware worden behandeld.

Het doel is beveiliging te vermenselijken met inhoud die zowel beveiligings- als niet-beveiligingsmedewerkers effectief betrekt. Gezamenlijk kan bewustmakingstraining op het gebied van cyberbeveiliging de beveiligingscultuur van een organisatie aanzienlijk verbeteren, het gedrag van werknemers ingrijpend veranderen en het beveiligingsrisico verlagen.

Constante waakzaamheid nodig

Geen van de onderdelen van uw regeling voor de bescherming tegen en de reactie op inbreuken op gegevens mag 'klaar en vergeten' zijn. U moet regelmatig de beveiligingstechnologieën evalueren, uw procedures voor de reactie op inbreuken oefenen en de bewustmaking van het personeel voortdurend verbeteren.

Zoals Hardacre zegt: "Organisaties zullen er goed aan doen privacybescherming als een culturele norm te beschouwen; om het te verankeren in het ontwerp en de structuur van hoe een organisatie werkt."

En als uw organisatie niet goed is voorbereid en een datalek krijgt, kunt u problemen verwachten. Hardacre verwacht dat de privacy-commissaris "al vroeg in de nieuwe regeling een paar in het oog springende voorbeelden van overtreders zal geven en daarmee de toon zal zetten voor de nalevingsverwachtingen in de toekomst".

De kern van de zaak

Organisaties hebben een aanpak nodig die technologie, bewustzijn en waakzaamheid combineert om de juiste beveiligingshouding te bereiken en klaar te zijn voor de veranderingen in de privacywetgeving. Zoals bij elke nieuwe wet of elk nieuw proces is regelmatige opleiding nodig om organisaties en hun teams te beschermen, dus begin met het plannen van opleidingen die in 2021 van start zullen gaan.