Meldplicht Datalekken

 in IT-recht, Ondernemingsrecht

Op 26 mei jl. is het wetsvoorstel Meldplicht datalekken en uitbreiding bestuursrechtelijke boetebevoegdheid College bescherming persoonsgegevens door de Eerste Kamer aangenomen. Dit wetsvoorstel werd ingediend op 16 augustus 2013. Met deze wet worden wijzigingen doorgevoerd in onder meer de Wet bescherming persoonsgegevens en de Telecommunicatiewet.

Belang van deze zaak

Deze wetswijzingen brengen de plicht met zich voor bedrijven (en andere verantwoordelijken) om aan het College bescherming persoonsgegevens (nationale toezichthouder bescherming persoonsgegevens) en datasubjecten te melden als er sprake is van een inbreuk op de beveiliging (‘datalek’).

Er zal sprake zijn van een plicht tot het onverwijld melden aan het College bescherming persoonsgegevens als een datalek ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die door een verantwoordelijke – en in het verlengde daarvan de bewerker – worden verwerkt. Tevens zal er sprake zijn van een plicht tot melden als de datalek leidt tot de aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van de door of namens de verantwoordelijke verwerkte persoonsgegevens.

Tevens zal op de verantwoordelijke de plicht rusten om een overzicht bij te houden over de aard van iedere inbreuk waarvoor de meldplicht geldt, als ook van alle gedane kennisgevingen daarover.

Daarnaast zal een plicht zijn tot het onverwijld melden van een datalek aan de datasubjects als de inbreuk op de beveiliging waarschijnlijk ongunstige gevolgen zal hebben voor diens privacy. De melding aan datasubjects kan achterwege blijven als de persoonsgegevens door het treffen van passende technische beveiligingsmaatregelen de persoonsgegevens onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden, denk hierbij aan het adequaat toepassen van encryptietechnieken naar de huidige stand der techniek.

De melding zal in ieder geval dienen te omvatten de aard van de datalek, waar men terecht kan voor meer informatie over de inbreuk alsmede de aanbevolen maatregelen om de negatieve gevolgen te beperken.

Het College bescherming persoonsgegevens krijgt de bevoegdheid om handhavend op te treden indien de meldplicht niet wordt nageleefd. Zo zal het College bescherming persoonsgegevens (na de inwerkingtreding van de wet ook wel aan te duiden als ‘Autoriteit persoonsgegevens’) bestuurlijke boetes kunnen opleggen die hoog kunnen oplopen (tot EUR 810.000,–).

Wilt u weten wat deze meldplicht betekent voor uw bedrijf of heeft u andere vragen naar aanleiding van dit bericht dan kunt u contact opnemen met mevrouw mr. I.M. Tempelman.

Lees hier meer over het aangenomen wetsvoorstel.

 

Recent Posts
  • 8 september 2017

    Een rechter die het functioneren van een werknemer beoordeelt?

    Marion Hagenaars
    Een werknemer die zijn beoordeling bij de rechter aanvecht. De rechter zal zich toch afgevraagd hebben: wat moet ik als buitenstaander vinden van het functioneren van een werknemer? Toch wijst de rechter de vordering van de werknemer toe. Het salaris wordt met terugwerkende kracht verhoogd. Werknemer is portfolio manager bij een bedrijf voor professionele reiniging
    Lees verder
  • 28 augustus 2017

    Waar gaat u naar toe met een internationaal IT-geschil?

    Hanneke Slager
    Van ICC naar NCC. Of toch maar liever SGOA?
    Lees verder
  • 11 augustus 2017

    Hoge bomen…stellen hun eigen verbeterplan op…

    Marion Hagenaars
    Niet alle rechters zijn het met elkaar eens, maar deze rechter is in ieder geval van oordeel dat een werkneemster verantwoordelijk is voor haar eigen verbeterplan. Wanneer is ontslag vanwege disfunctioneren mogelijk? Er moet natuurlijk sprake zijn van disfunctioneren. Maar daarnaast moet de werknemer hiervan tijdig in kennis zijn gesteld, moet de werknemer in voldoende
    Lees verder

Plaats een reactie