Leestijd: 2 minuten
Meldplicht datalekken
In 2013 publiceerde NORD Advocatuur al over het wetsvoorstel meldplicht datalekken. Vorige week is het voorstel zonder stemming aangenomen door Eerste Kamer. Het voorkomen van datalekken en een passende beveiliging van persoonsgegevens worden steeds belangrijker. Een verantwoordelijke van persoonsgegevens was al verplicht voor een passende beveiliging te zorgen op grond van artikel 13 Wbp en artikel 14 Wbp. Nu worden er verplichtingen gesteld aan situaties waarin de beveiliging niet afdoende bleek om datalekken te voorkomen.
Wat verandert er?
Aan de Wet bescherming persoonsgegevens wordt een meldplicht voor inbreuken op beveiligingsmaatregelen voor persoonsgegevens toegevoegd. Met deze meldplicht wil de wetgever de gevolgen van datalekken voor de betrokkenen zoveel mogelijk beperken. Ook wil de wetgever het vertrouwen in de omgang met persoonsgegevens behouden en herstellen.
Met dit voorstel moet de verantwoordelijke bij een datalek, waarbij kans is op verlies of onrechtmatige verwerking van persoonsgegevens, niet alleen een melding doen bij de toezichthouder CBP (het College bescherming persoonsgegevens), maar ook de betrokkene (op wie de gegevens betrekking hebben) informeren. Deze meldplicht geldt voor alle verantwoordelijken voor de verwerking van persoonsgegevens, zowel in de private als publieke sector. Als er géén melding wordt gemaakt van een datalek, dan kan dit bestraft worden met een bestuurlijk boete van het CBP. Deze boete kan oplopen tot wel € 810.000,= (nieuwe artikel 66 Wbp in samenhang met artikel 23 lid 4 Wetboek van Strafrecht).
Waarschijnlijk zal de invoering van deze regel vele -soms wellicht onnodig- meldingen aan het CBP uitlokken, om boetes te voorkomen. Binnen dit thema kan NORD Advocatuur bij uitstek uw organisatie adviseren of als sparringpartner optreden.