Print:

Meldplicht Datalekken

Jean Paul van Schoonhoven , Directeur

LinkedIn profiel

Het langverwachte wetsvoorstel Meldplicht Datalekken is op 10 februari 2015 unaniem aangenomen door de Tweede Kamer. De verwachting is dat nog voor de zomer het wetsvoorstel door de Eerste Kamer wordt aangenomen waarna het per direct in werking zal treden.

Dit wetsvoorstel voegt aan de Wet bescherming persoonsgegevens (Wbp) een meldplicht voor inbreuken op beveiligingsmaatregelen voor persoonsgegevens toe, een algemene boetebevoegdheid voor overtreding van de Wbp (maximaal €810.000,-) en een naamswijziging van het College bescherming persoonsgegevens (Cbp) in ‘Autoriteit Persoonsgegevens’. Met de meldplicht datalekken wil de regering de gevolgen van een datalek (‘inbreuk op de beveiliging’) voor de betrokkenen zoveel mogelijk beperken en hiermee een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens.

Met dit voorstel moet de verantwoordelijke bij een datalek, waarbij kans is op verlies of onrechtmatige verwerking van persoonsgegevens, niet alleen een melding doen bij de toezichthouder), maar ook de betrokkene informeren. Deze meldplicht geldt voor alle verantwoordelijken voor de verwerking van persoonsgegevens, zowel in de private als publieke sector. Als er geen melding wordt gemaakt van een datalek kan dit bestraft worden met een aanzienlijke boete.

In de cursussen van IIR zullen de implementatievraagstukken van dit wetsvoorstel uitgebreid interactief behandeld worden samen met de cursisten. Met name omdat het nieuwe artikel 34a Wbp naar verwachting zal leiden tot de nodige interpretatievraagstukken. Momenteel is namelijk nog onduidelijk wat de verplichting tot melding bij de toezichthouder inhoudt. Van een meldplicht bij de toezichthouder is bijvoorbeeld sprake indien ‘de inbreuk op de beveiliging’ leidt ‘tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.’ Ook de meldplicht bij de betrokkene zelf is nogal vaag: ‘de verantwoordelijke stelt de betrokkene onverwijld in kennis van de inbreuk […] indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.‘

Naast de meldplicht is ook van belang de toegekende boetebevoegdheid het Cbp. Het Cbp werd nogal eens omschreven als een ‘papieren of tandeloze tijger’. Met de nieuwe boetebevoegdheid wordt een ingrijpende bevoegdheid toegevoegd aan het toezichtarsenaal van het Cbp. Voor menig bestuurder zal dat een reden zijn om de risicobereidheid ten aanzien van privacy ter heroverweging op de strategische agenda te plaatsen.

Jean Paul van Schoonhoven

Jean Paul is is opgeleid als jurist en bedrijfseconoom en is directeur van adviesbureau Legal2Practice. Daarnaast is Jean Paul werkzaam bij IIR als trainer voor o.a. de opleiding Privacy Officer 2.0