Wet Meldplicht Datalekken – update Oktober 2015

 in IT-recht

Het College Bescherming Persoonsgegevens (CBP), heeft op 22 oktober jl. conceptbeleidsregels gepubliceerd betreffende het opleggen van bestuurlijke boetes bij overtreding van de Wet bescherming persoonsgegevens, de Telecommunicatiewet, de Algemene wet bestuursrecht, de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens (‘Boetebeleidsregels Autoriteit Persoonsgegevens’). De uitbreiding van haar boetebevoegdheid is gebaseerd op de op 1 januari 2016 in werking tredende Wet meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp en loopt vooruit op de beoogde boetebevoegdheid op grond van de nog in voorbereiding zijnde Europees brede Algemene verordening gegevensbescherming (General Data Protection Regulation). Vanaf 1 januari 2016 zal het College Bescherming Persoonsgegevens voortaan als Autoriteit Persoonsgegevens worden aangeduid. De beleidsregels betreffen vooralsnog een consultatieversie.

Wet bescherming persoonsgegevens
Ten aanzien van overtredingen van de Wet bescherming persoonsgegevens gelden twee wettelijke boetemaxima. Te weten een wettelijke boetemaximum van € 810.000,– en een wettelijk boetemaximum van € 20.250,–.

Het boetemaximum van € 810.000,– geldt onder meer ten aanzien van het overtreden van de volgende plichten uit de Wet bescherming persoonsgegevens:
1. een behoorlijke en zorgvuldige gegevensverwerking;
2. doeleindenomschrijving;
3. grondslag gegevensverwerking;
4. doelbinding;
5. geen verwerking als geheimhoudingsplicht;
6. maximale bewaartermijn;
7. toereikende, ter zake dienende en niet bovenmatige gegevensverwerking;
8. geheimhoudingsplicht bewerker;
9. beveiligingsverplichting;
10. verbod verwerking bijzondere persoonsgegevens;
11. gebruik wettelijk identificatienummer;
12. informatieplicht;
13. meldplicht datalekken;
14. inzagerecht betrokkene;
15. recht op verbetering, aanvulling, verwijdering of afscherming persoonsgegevens;
16. absoluut recht van verzet tegen verwerking voor commerciële of charitatieve doelen;
17. verbod doorgifte naar land buiten de EU zonder passen beschermingsniveau.

Binnen het boetemaximum van € 810.000,– onderscheidt het CBP in haar concept beleidsregels drie categorieën boetebandbreedten. Categorie I: tussen € 0,00 en € 200.000,–; categorie II : tussen € 120.000,– en € 500.000,–; en categorie III: tussen € 350.000,– en € 810.000,–.  Indien meerdere categorieën van toepassing zijn, stelt de Autoriteit Persoonsgegevens op basis van de ernst van de overtreding vast binnen welke categorie een specifieke overtreding valt.

Factoren op basis waarvan de ernst van de overtreding wordt beoordeeld, zijn de aard en omvang van de overtreding, de duur van de overtreding en de impact van de overtreding op de betrokkenen en/of de maatschappij.

De Autoriteit Persoonsgegevens kan in een onderhavig geval een meer passende boete opleggen, dit kan een boete zijn uit de naast gelegen categorie (omhoog of omlaag). Indien de boete van € 810.000,– niet afdoende wordt geacht, kan de Autoriteit Persoonsgegevens een boete opleggen van maximaal 10 procent van de netto jaaromzet van de rechtspersoon.

In de concept beleidsregels zijn een aantal boete verhogende dan wel boete verlagende omstandigheden opgesomd op basis waarvan de Autoriteit Persoonsgegevens de hoogte van de boete kan aanpassen.
Het verlenen van medewerking aan de Autoriteit Persoonsgegevens dat verder gaat dan hetgeen waartoe men wettelijk is verplicht kan boeteverlagend werken, alsook het ook uit eigen beweging beëindigen van de overtreding en het schadeloos stellen van degene aan wie schade is berokkend.

Contact
Voor meer informatie over deze concept beleidsregels kunt u contact opnemen met mr. I.M. Tempelman.

De volledige consultatieversie van de ‘Boetebeleidsregels Autoriteit Persoonsgegevens 2015’ treft u hier aan.

Recent Posts
  • 13 december 2017

    e-Privacy Verordening: wat verandert er?

    Bob Cordemeyer
    10 januari 2017 publiceerde de Europese Commissie het voorstel voor een herziening van de bestaande e-Privacyrichtlijn (Richtlijn 2002/58/EG). Met de invoering van de Algemene Verordening Persoonsgegevens (Verordening (EU) 2016/679), die 25 mei 2018 in werking treedt, wordt hiermee een belangrijke stap gezet voor de hervorming en uniformiteit van de regelgeving voor gegevensbescherming. Het streven van
    Lees verder
  • 14 december 2017

    Wijzigingen 2018 & het regeerakkoord voor HR

    Marion Hagenaars
    Nieuwe uitdagingen voor HR in 2018. Ook in 2018 krijgt HR weer te maken met nieuwe wet-en regelgeving. Via deze blog informeren we je over de belangrijkste wijzigingen. 2018 De volgende wijzigingen voor 2018 zijn voor HR van belang: Transitievergoeding De transitievergoeding bedraagt in 2018 maximaal € 79.000,- bruto of – indien hoger – een
    Lees verder
  • 29 november 2017

    Ondernemingsraden let op met privacy!

    Marion Hagenaars
    Ondernemingsraden vervullen een belangrijke rol met betrekking tot privacy. Elk besluit tot het vaststellen, wijzigen of intrekken van een regeling omtrent het verwerken en/of beschermen van persoonsgegevens is namelijk instemmingsplichtig. Dit betekent dat de ondernemer om een dergelijk besluit te kunnen nemen óf instemming nodig heeft van de ondernemingsraad óf vervangende instemming van de kantonrechter.
    Lees verder

Plaats een reactie