We hebben er even op moeten wachten maar het is zover: de wetswijziging ‘Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp’ is gisteren door de Eerste Kamer aangenomen. Een datalek lekker voor uzelf houden is er straks niet meer bij.
Tekst: Lisette Meij
‘Wanneer moet ik een datalek dan melden?’ zult u willen weten. Goede vraag. Een datalek moet gemeld worden bij het College bescherming persoonsgegevens (Cbp) als er sprake is van een inbreuk op de beveiliging en deze inbreuk leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens.
Ook betrokkenen inlichten
Een datalek moet niet alleen worden gemeld bij het Cbp, maar óók bij de betrokkenen als het nadelige gevolgen kan hebben voor de persoonlijke levenssfeer. Dit laatste is overigens niet nodig indien er passende beveiligingsmaatregelen zijn genomen om kennisname van de gelekte gegevens te voorkomen. Denk hierbij aan encryptie, waardoor degene die toegang heeft tot de gegevens deze niet kan lezen.
Flinke boete
Meldt u een datalek niet, waarmee u straks de Wet bescherming persoonsgegevens (Wbp) overtreedt, dan kan het Cbp een boete opleggen. Cbp-boetes waren altijd gemaximeerd op 4.500 euro en ze werden daarmee veelvuldig geriskeerd. Met dank aan de wetswijziging kunnen de boetes straks echter oplopen tot maximaal 810.000 euro. Dat is wel even andere koek. Houdt u zich niet aan de Wbp, dan riskeert u dus een flinke boete. Uiteraard zult u eerst nog op de vingers getikt worden en worden gewezen op wat u verkeerd doet.
Richtsnoeren
De wetswijziging is nu aangenomen door de Eerste Kamer, maar nog niet in werking getreden. Voor dat gebeurt zal het Cbp, naar verwachting, richtsnoeren opstellen die meer duidelijkheid geven over de daadwerkelijke handhaving van deze wetswijziging. Deze richtsnoeren zullen hoogstwaarschijnlijk meer duidelijkheid bieden over wanneer er nou precies sprake is van ‘een aanzienlijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens en/of nadelige gevolgen voor de persoonlijke levenssfeer van betrokkenen’. Wordt, met andere woorden, vervolgd.
Lisette Meij is juridisch adviseur bij ICTRecht.
Lees ook: Waar lekt de Twinkle100? (4 mei 2015)
Er is op dit moment 0 keer gereageerd op:
Meldplicht voor datalekken door de Eerste Kamer
Je kunt niet meer reageren op dit artikel.