Meldplicht Datalekken

 in IT-recht, Ondernemingsrecht

Op 26 mei jl. is het wetsvoorstel Meldplicht datalekken en uitbreiding bestuursrechtelijke boetebevoegdheid College bescherming persoonsgegevens door de Eerste Kamer aangenomen. Dit wetsvoorstel werd ingediend op 16 augustus 2013. Met deze wet worden wijzigingen doorgevoerd in onder meer de Wet bescherming persoonsgegevens en de Telecommunicatiewet.

Belang van deze zaak

Deze wetswijzingen brengen de plicht met zich voor bedrijven (en andere verantwoordelijken) om aan het College bescherming persoonsgegevens (nationale toezichthouder bescherming persoonsgegevens) en datasubjecten te melden als er sprake is van een inbreuk op de beveiliging (‘datalek’).

Er zal sprake zijn van een plicht tot het onverwijld melden aan het College bescherming persoonsgegevens als een datalek ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die door een verantwoordelijke – en in het verlengde daarvan de bewerker – worden verwerkt. Tevens zal er sprake zijn van een plicht tot melden als de datalek leidt tot de aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van de door of namens de verantwoordelijke verwerkte persoonsgegevens.

Tevens zal op de verantwoordelijke de plicht rusten om een overzicht bij te houden over de aard van iedere inbreuk waarvoor de meldplicht geldt, als ook van alle gedane kennisgevingen daarover.

Daarnaast zal een plicht zijn tot het onverwijld melden van een datalek aan de datasubjects als de inbreuk op de beveiliging waarschijnlijk ongunstige gevolgen zal hebben voor diens privacy. De melding aan datasubjects kan achterwege blijven als de persoonsgegevens door het treffen van passende technische beveiligingsmaatregelen de persoonsgegevens onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden, denk hierbij aan het adequaat toepassen van encryptietechnieken naar de huidige stand der techniek.

De melding zal in ieder geval dienen te omvatten de aard van de datalek, waar men terecht kan voor meer informatie over de inbreuk alsmede de aanbevolen maatregelen om de negatieve gevolgen te beperken.

Het College bescherming persoonsgegevens krijgt de bevoegdheid om handhavend op te treden indien de meldplicht niet wordt nageleefd. Zo zal het College bescherming persoonsgegevens (na de inwerkingtreding van de wet ook wel aan te duiden als ‘Autoriteit persoonsgegevens’) bestuurlijke boetes kunnen opleggen die hoog kunnen oplopen (tot EUR 810.000,–).

Wilt u weten wat deze meldplicht betekent voor uw bedrijf of heeft u andere vragen naar aanleiding van dit bericht dan kunt u contact opnemen met mevrouw mr. I.M. Tempelman.

Lees hier meer over het aangenomen wetsvoorstel.

 

Recent Posts
  • 13 december 2017

    e-Privacy Verordening: wat verandert er?

    Bob Cordemeyer
    10 januari 2017 publiceerde de Europese Commissie het voorstel voor een herziening van de bestaande e-Privacyrichtlijn (Richtlijn 2002/58/EG). Met de invoering van de Algemene Verordening Persoonsgegevens (Verordening (EU) 2016/679), die 25 mei 2018 in werking treedt, wordt hiermee een belangrijke stap gezet voor de hervorming en uniformiteit van de regelgeving voor gegevensbescherming. Het streven van
    Lees verder
  • 14 december 2017

    Wijzigingen 2018 & het regeerakkoord voor HR

    Marion Hagenaars
    Nieuwe uitdagingen voor HR in 2018. Ook in 2018 krijgt HR weer te maken met nieuwe wet-en regelgeving. Via deze blog informeren we je over de belangrijkste wijzigingen. 2018 De volgende wijzigingen voor 2018 zijn voor HR van belang: Transitievergoeding De transitievergoeding bedraagt in 2018 maximaal € 79.000,- bruto of – indien hoger – een
    Lees verder
  • 29 november 2017

    Ondernemingsraden let op met privacy!

    Marion Hagenaars
    Ondernemingsraden vervullen een belangrijke rol met betrekking tot privacy. Elk besluit tot het vaststellen, wijzigen of intrekken van een regeling omtrent het verwerken en/of beschermen van persoonsgegevens is namelijk instemmingsplichtig. Dit betekent dat de ondernemer om een dergelijk besluit te kunnen nemen óf instemming nodig heeft van de ondernemingsraad óf vervangende instemming van de kantonrechter.
    Lees verder

Plaats een reactie