Wetsvoorstel meldplicht datalekken aangenomen

1 minuten leestijd (295 woorden)
Dinsdag 26 mei 2015 heeft de Eerste Kamer een wetsvoorstel aangenomen, dat ervoor moet waken dat persoonsgegevens gelekt worden. Daarnaast heeft het College bescherming persoonsgegevens (hierna: CBP) een extra boetebevoegdheid gekregen. Het wetsvoorstel kan grote gevolgen hebben voor bedrijven die persoonsgegevens verwerken. In dit bericht wordt het aangenomen wetsvoorstel besproken.

Datalekken moeten straks verplicht gemeld worden aan betrokkenen en het CBP, dat in de toekomst Autoriteit Persoonsgegevens zal gaan heten. Bedrijven zullen goede detectiemaatregelen moeten inrichten om een lek te voorkomen. Daarnaast zullen bedrijven een standaardprocedure moeten ontwikkelen, om tijdig te kunnen reageren op een lek. De openheid over datalekken kan vanuit transparantieoverwegingen positief zijn voor de internetgebruiker. Echter, de meldplicht kan ook zeer nadelige gevolgen hebben voor bedrijven:  Het verplicht melden van datalekken kan leiden tot reputatieschade, wanneer deze negatieve (social) media-aandacht tot gevolg heeft.

Er is sprake van een datalek van persoonsgegevens, als de inbreuk op de getroffen beveiligingsmaatregelen leidt tot een aanzienlijke kans op ernstige nadelige gevolgen. Is de kans groot dat het lek leidt tot ongunstige gevolgen voor de persoonlijke levenssfeer, dan moet de verantwoordelijke voor de gegevensverwerking het CBP en de betrokkene informeren.

Het CBP heeft er een effectief handhavingsmiddel bij gekregen, namelijk een boetebevoegdheid. Wanneer een bedrijf niet voldoet aan de Wbp, is het CBP  bevoegd tot het opleggen van een boete. Deze boete kan oplopen tot € 810.000,- of maximaal 10% van de jaarlijkse omzet van het bedrijf. De verwachting is dat het CBP terughoudend gebruik zal maken van haar toegenomen bevoegdheid, echter, dit zal uit de praktijk moeten blijken. De verruimde boetebevoegdheid blijft bestaan naast de bestaande handhavingsmiddelen.

Naar verwachting zal het wetsvoorstel op 1 januari 2016 in werking treden. Waarschijnlijk zal het CBP in het najaar van 2015 zijn richtsnoeren met betrekking tot datalekken bekend maken.

Klik hier voor meer achtergrondinformatie