Meldplicht Datalekken
Op 26 mei jl. is het wetsvoorstel Meldplicht datalekken en uitbreiding bestuursrechtelijke boetebevoegdheid College bescherming persoonsgegevens door de Eerste Kamer aangenomen. Dit wetsvoorstel werd ingediend op 16 augustus 2013. Met deze wet worden wijzigingen doorgevoerd in onder meer de Wet bescherming persoonsgegevens en de Telecommunicatiewet.
Belang van deze zaak
Deze wetswijzingen brengen de plicht met zich voor bedrijven (en andere verantwoordelijken) om aan het College bescherming persoonsgegevens (nationale toezichthouder bescherming persoonsgegevens) en datasubjecten te melden als er sprake is van een inbreuk op de beveiliging (‘datalek’).
Er zal sprake zijn van een plicht tot het onverwijld melden aan het College bescherming persoonsgegevens als een datalek ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die door een verantwoordelijke – en in het verlengde daarvan de bewerker – worden verwerkt. Tevens zal er sprake zijn van een plicht tot melden als de datalek leidt tot de aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van de door of namens de verantwoordelijke verwerkte persoonsgegevens.
Tevens zal op de verantwoordelijke de plicht rusten om een overzicht bij te houden over de aard van iedere inbreuk waarvoor de meldplicht geldt, als ook van alle gedane kennisgevingen daarover.
Daarnaast zal een plicht zijn tot het onverwijld melden van een datalek aan de datasubjects als de inbreuk op de beveiliging waarschijnlijk ongunstige gevolgen zal hebben voor diens privacy. De melding aan datasubjects kan achterwege blijven als de persoonsgegevens door het treffen van passende technische beveiligingsmaatregelen de persoonsgegevens onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden, denk hierbij aan het adequaat toepassen van encryptietechnieken naar de huidige stand der techniek.
De melding zal in ieder geval dienen te omvatten de aard van de datalek, waar men terecht kan voor meer informatie over de inbreuk alsmede de aanbevolen maatregelen om de negatieve gevolgen te beperken.
Het College bescherming persoonsgegevens krijgt de bevoegdheid om handhavend op te treden indien de meldplicht niet wordt nageleefd. Zo zal het College bescherming persoonsgegevens (na de inwerkingtreding van de wet ook wel aan te duiden als ‘Autoriteit persoonsgegevens’) bestuurlijke boetes kunnen opleggen die hoog kunnen oplopen (tot EUR 810.000,–).
Wilt u weten wat deze meldplicht betekent voor uw bedrijf of heeft u andere vragen naar aanleiding van dit bericht dan kunt u contact opnemen met mevrouw mr. I.M. Tempelman.
Lees hier meer over het aangenomen wetsvoorstel.