Klein Sake en POPI: Is Dit Die Laaste Keer?

“Crying wolf is a real danger” (David Attenborough)

Dit gaan alles oor die beskerming van ons inligting van ‘n persoonlike aard. Die Wet op die Beskerming van Persoonlike Inligting oftwel POPI (“the Protection of Personal Information Act”) moet vir ons welkome beskerming bied teen die gebruik van ons persoonlike inligting. Ons name, identiteitsnommers, telefoonnommers, adresse, mediese besonderhede en so aan word beskerm.

Aan die ander kant word klein sake nou verplig om aan ‘n nuwe stel vereistes en burokratiese prosesse te voldoen en word terselftertyd ook aan die meegaande risiko’s blootgestel.

Ons het ook al soveel vals alarms oor die moontlike inwerkingtreding van die POPI wetgewing beleef, dat ons dalk nie meer die omvang van die verpligtinge en die las op ons besighede besef nie.

Dit lyk of die proses nou wel aan die gang is en dat ons nie meer met vals alarms te make het nie. Kom ons ondersoek die belangrikste aspekte.

Wat word van jou verwag en wanneer moet jy daaraan voldoen?

Daar is omvangryke vereistes waaraan voldoen moet word. Groot maatskappye beplan en berei reeds sedert 2014 voor vir die inwerkingtreding van die vereistes en pas hul stelsels voortdurend aan om hieraan te voldoen.

Kleiner besighede se begrotings is meer beperk en is waarskynlik nie so op hoogte met die bestaande vereistes nie.

In ‘n neutedop is die vereistes die volgende:

  • Na jare se vertragings is daar nou ‘n Inligtingsreguleerder aangestel. Die konsepregulasies is gepubliseer. Die publiek het nog tyd tot 7 November 2017 om kommentaar en insette daarop te lewer.
  • Dit lyk dus of die een jaar grasie tydperk wat verleen word om aan die vereistes te voldoen, waarskynlik vroeg in 2018 sal begin loop. So daar is darem voldoende tyd om die vereistes te verstaan en om jou organisasie daarvoor voor te berei.
  • Julle moet gepaste en redelike stappe neem om alle inligting van ‘n persoonlike aard wat julle versamel, berg of gebruik te beskerm en te verseker. Jy kan maar aanvaar dat julle wel met persoonlike inligting omgaan. Dink maar aan al die persoonlike inligting van kliënte, klante, verskaffers, diensverskaffers en werknemers waarmee julle daagliks werk. POPI is wel op julle van toepassing!
  • Indien julle vermoed dat enigiemand ongemagtigde toegang tot die vertroulike inligting verkry het, moet dit met ‘n meegaande verduideliking by die Inligtingsreguleerder aangemeld word. Dit gaan nie net oor die verlies van data of ongemagtigde toegang tot data nie, maar enige ander vorm van data op risiko, soos die verlies of diefstal van ‘n skootrekenaar, tablet, telefoon, datastokkie of hardeskyf.
  • Daar is riglyne oor die persoonlike inligting wat gevra mag word, waar jy dit kan kry, wat jy kan hou, hoe lank jy dit mag hou en waarvoor dit aangewend mag word.
  • Dit is ook ‘n vereiste dat die inligting akkuraat moet wees. Die lys van voorskrifte is lank.

Die groot risiko van nie-nakoming

  • Indien die wet nie nagekom word nie, is hier ernstige strawwe ter sprake. Die wet maak voorsiening vir administratiewe boetes van tot R10 miljoen. Daar is ook voorsiening vir strafregtelike vervolging. By skuldigbevinding kan gevangenisstraf van tot 10 jaar opgelê word.
  • Waar daar ‘n databreuk plaasvind kan die persoon wie se data onder jou beheer was, jou dagvaar vir miljoene rande se skadevergoeding. Daar is ook slegs ‘n beperkte getal verwere wat aangebied kan word. Dit is ‘n geval van strenge aanspreeklikheid. Die eiser hoef nie enige opset of nalatigheid aan jou kant te bewys om aanspreeklikheid te vestig nie.
  • Om jou ‘n idee te gee van die omvang van die risiko. ‘n Klein onderneming in die Verenigde Koninkryk (VK) is onlangs aan die verbreking van soortgelyke wetgewing aldaar skuldig bevind. Kuberkrakers het ongemagtigde toegang tot hul kliëntebasis se persoonlike inligting verkry. In hierdie geval het die reguleerder in die VK ‘n boete van £60 000 (bykans R1 miljoen) opgelê.

Wanneer die verwagte regulasies (en hopelik ook gepaardgaande Kodes van Goeie Praktyk) en die verwagte datums van implementering eers afgekondig word, sal ons kyk na die praktiese toepassing en ook aanbevelings maak oor gepaste oplossings. Op hierdie stadium moet mens wel al kyk na jou sagteware, besigheidsprosesse, sekuriteitstelsels (soos wagwoorde en kodifisering) wat waarskynlik in geheel hersien en opgedateer moet word.

Maak solank ‘n opname oor die persoonlike inligting van kliênte wat julle hou, hoe en waar dit gehou word, wie almal daartoe toegang het en hoe veilig dit mag wees.