Wetsvoorstel Meldplicht datalekken aangenomen door de Eerste Kamer
Onlangs heeft de Eerste Kamer het wetsvoorstel Meldplicht datalekken aangenomen. Hierover bericht Jan van Ederen, partner bij Grant Thornton.
Organisaties die persoonsgegevens bewaren of verwerken van bijvoorbeeld klanten of medewerkers, worden hierdoor verplicht tot het melden van zogenoemde datalekken. Het aangenomen wetsvoorstel zorgt daarnaast voor nog een aantal wijzigingen in de Wet bescherming persoonsgegevens (Wbp).
De Wbp legt diverse verplichtingen op aan organisaties die persoonsgegevens bewaren of verwerken van bijvoorbeeld hun klanten of medewerkers. Daar komt nu de verplichting bij om zogenaamde datalekken te melden. Met een datalek bedoelt de wet iedere inbreuk op de beveiliging van persoonsgegevens. Voorbeelden hiervan zijn een hack van een ICT-systeem dat persoonsgegevens bevat en de diefstal van een laptop of mobiele telefoon uit een afgesloten kluisje. De meldplicht staat los van de vraag of de gehanteerde beveiligingsmaatregelen voldoende zijn geweest.
Introductie meldplichten
Er worden twee meldplichten geïntroduceerd:
– Een datalek moet worden gemeld aan het College bescherming persoonsgegevens (CBP) wanneer er kans is op een nadelige bescherming van de persoonsgegevens.
– Bovendien moet ook aan de personen over wie de gegevens gaan een melding worden gedaan als het datalek ongunstige gevolgen kan hebben voor de privacy van die personen.
Uitbreiding boetebevoegdheden CBP
In de aangepaste wet worden ook de boetebevoegdheden van het CBP aanzienlijk verruimd. Waar de privacy-toezichthouder nu nog een maximale boete kan opleggen van 4.500 euro, zal met ingang van 1 januari 2016 de maximale boete 810.000 euro of 10 procent van de jaaromzet van de rechtspersoon kunnen bedragen. Dit geldt niet alleen voor datalekken, maar voor alle schendingen van de privacy regels.
Datalek en bewerkersovereenkomst
De Wbp legt aan organisaties die persoonsgegevens door anderen laten verwerken, de verplichting op een zogenaamde bewerkersovereenkomt aan te gaan. Het is van belang deze overeenkomsten aan te passen en met de dienstverleners af te stemmen hoe wordt omgegaan met een datalek en de wettelijke meldplicht.
De aangepast wet met meldplicht van datalekken treedt naar verwachting op 1 januari 2016 in.
Vooruitlopen op Algemene Verordening Gegevensbescherming
Met de nieuwe meldplicht loopt Nederland vooruit op de Algemene Verordening Gegevensbescherming (AVG), de nieuwe EU-verordening die in de toekomst in alle lidstaten de nationale persoonsgegevenswetten vervangt (ook de Wbp). De AVG zal eveneens een meldplicht gaan bevatten en de boetebevoegdheden aanzienlijk verruimen. Naar verwachting wordt de AVG in 2016 vastgesteld.
Bron: Grant Thornton