Wat omvat Meldplicht Datalekken en uitbreiding boetebevoegdheid CBP?

Dat meldt Kröller Boom. 

De wetgever heeft nieuwe wetgeving ontwikkeld rondom het thema Cybercrime. Deze wet Meldplicht Datalekken werd 26 mei jl. door de 1e kamer geloodst, anoniem aangenomen en is er deze week door het Ministerie van Veiligheid en Justitie aangekondigd dat de maatregelen per 1 januari a.s. volledig van kracht zijn.

Zowel private als publieke organisaties die persoonsgegevens verwerken worden met ingang van 1 januari 2016 verplicht om inbreuken op de beveiliging te melden die leiden tot bijvoorbeeld diefstal, verlies of misbruik van persoonsgegevens. 

Tot nu toe was deze meldplicht alleen van toepassing op de aanbieders van elektronische communicatienetwerken en -diensten voor wie op grond van de Telecommunicatiewet reeds een meldplicht geldt bij diefstal, verlies of misbruik van persoonsgegevens van abonnee of gebruiker. Maar nu is het ook op alle ondernemingen en instellingen die persoonsgegevens bezitten/bewerken van toepassing, met als hoofddoel om tot een betere bescherming van deze persoonsgegevens te komen.

Verder kan het College bescherming persoonsgegevens (Cbp) in meer gevallen een bestuurlijke boete opleggen aan overtreders van privacy regels. Het Cbp mag nu alleen een bestuurlijke boete opleggen bij een overtreding van een administratief voorschrift, bijvoorbeeld de verplichting om de verwerking van persoonsgegevens te melden. 

Vanaf 1 januari 2016 is dat ook mogelijk bij schending van meer algemene verplichtingen die de wet stelt aan gebruik en verwerking van persoonsgegevens. Bijvoorbeeld als persoonsgegevens niet op een behoorlijke en zorgvuldige manier zijn verwerkt of langer worden bewaard dan noodzakelijk is, maar ook als de beveiliging niet deugt, het beheer van persoonsgegevens slecht is georganiseerd of gevoelige informatie over burgers zoals hun politieke voorkeur of levensovertuiging is misbruikt.

Door deze aanstaande wetgeving  zijn de verplichtingen van de verantwoordelijke en de bewerker verder uitgebreid met de meldplicht datalekken en is dit een voorloper op  de uitgebreidere en aanstaande Europese Algemene verordening gegevensbescherming (Avg- verwachting 2017).

De aansprakelijkheidsrisico’s zullen door deze wijziging in de komende tijd aanzienlijk toenemen voor zowel de onderneming en instelling maar ook  zeker sec voor haar bestuurders. Op grond van de nieuwe wet kan het Cbp aan de verantwoordelijke en de bewerker boetes opleggen van 810.000 euro en zowel de verantwoordelijke als de bewerker kunnen door betrokkenen aansprakelijk gesteld worden voor geleden schade als gevolg van het niet nakomen van de wettelijke verplichtingen. Maar nog vele malen zwaarder weegt een eventuele publicatie van een datalek en direct daar aan gekoppeld uw reputatie!

 

Deze aansprakelijkheidsrisico’s kunnen onder andere worden beperkt met de opstelling van een adequate bewerkersovereenkomst. In deze bewerkersovereenkomst zullen partijen afspraken moeten maken over, onder andere, de invulling van de wettelijke meldplicht, de uitvoering van onderzoeken naar de oorzaken van incidenten en over de wijze van detecteren van beveiligingsincidenten. 

Ook de wijze van communiceren tussen de verantwoordelijke en de bewerker onderling en met andere partijen zoals sub-bewerkers, betrokkenen en het Cbp zal moeten worden geregeld. Daarnaast zal de bewerkersovereenkomst afspraken moeten bevatten over de verdeling van de aansprakelijkheids- en kostenrisico’s, de te vergoeden schades en de bewijslast. De aansprakelijkheidsrisico’s kunnen op deze wijze  beheerst worden en onderzoekskosten zullen niet onnodig uit de hand lopen.

Deze nieuwe wetgeving is vanzelfsprekend een uitvloeisel van de explosieve  toename van wereldwijde- en grenzeloze  datastromen, de bewerking van deze data en last but not least  de officiële – maar ook zeker illegale handel in deze data. Dit laatste is het terrein van cybercrime, de snelst wereldwijd groeiende ongeorganiseerde- en georganiseerde misdaad. Een risico waar we inmiddels allemaal dagelijks mee te maken hebben en waarbij het managen van dit risico en het nemen van mogelijke preventiemaatregelen een onomkeerbaar proces is. 

Met de besproken ‘Wet Meldingsplicht Datalekken’ heeft de wetgever definitief de koppeling  gemaakt met het adequaat beheersen van dit risico en verhoging van de zogenaamde ketenaansprakelijkheid . Voor u in uw rol als ondernemer en bestuurder is het dan ook noodzaak geworden om op korte termijn de aankomende regelgeving te toetsen aan uw bestaande organisatie, het management en beheer van uw huidige data en de afspraken en verantwoordelijkheden van uw leveranciers en afnemers.

 

Bron: Kröller Boom