Wetsvoorstel: EUR 450.000 boete op niet-melden datalekken

dinsdag, 16 juli 2013

Wij berichtten eerder al over de toenemende dreiging van cybercrime. Denk bijvoorbeeld aan online bedrijfsspionage, recente DdoS-aanvallen bij banken, persoonsgegevens die op straat komen te liggen en kapotte online klantsystemen. Bedrijven en overheden blijken zich steeds meer te verzekeren tegen dit soort risico’s, laat Het Financieele Dagblad weten in een voorpagina-artikel. Die ontwikkeling wordt mogelijk versneld, als het wetsvoorstel ‘Brede Melding Datalekken’ in werking treedt.

De kosten van online problemen kunnen zowel voor bedrijven als voor overheden fors zijn. Denk onder meer aan de schade, als de bedrijfsvoering voor kortere of langere tijd stil komt te liggen. Gehackte persoonsgegevens kunnen de zorgvuldig opgebouwde reputatie onherstelbaar aantasten, zoals in het geval van DigiNotar, of het Groene Hart Ziekenhuis in Gouda. Gestolen bedrijfsgeheimen ondermijnen de eigen competitiviteit. Jarenlange R&D-trajecten kunnen zo voor niets geweest zijn. En ten slotte zijn er de reparatiekosten: ICT’ers, juristen, forensische onderzoekers, mogelijk een PR-bureau.

De Rijksoverheid wil aan deze mix nog een extra risico toevoegen: boetes.

Begin 2014 beoogt de wetgever een wijziging van de Wet bescherming persoonsgegevens door te voeren. Kort samengevat creëert het wetsvoorstel een brede meldplicht bij datalekken:

Zowel private als publieke organisaties die persoonsgegevens verwerken worden straks verplicht om inbreuken op de beveiliging die leiden tot diefstal, verlies of misbruik van persoonsgegevens te melden. Dat zijn dus meer organisaties dan de aanbieders van elektronische communicatienetwerken en -diensten voor wie op grond van de Telecommunicatiewet reeds een meldplicht geldt bij diefstal, verlies of misbruik van persoonsgegevens van abonnee of gebruiker. Het doel van de meldplicht is om tot een betere bescherming van persoonsgegevens te komen.

Op dit moment ligt het wetsvoorstel bij de Tweede Kamer. Uit de Memorie van Toelichting blijkt duidelijk dat het de wetgever serieus is, “naar aanleiding van een aantal grote incidenten“. Bedrijven en overheden worden in het wetsvoorstel zeer hoge boetes in het vooruitzicht gesteld ingeval van non-compliance:

Door een beveiligingsfout kunnen grote hoeveelheden persoonsgegevens op straat belanden. De toezichthouder – het College bescherming persoonsgegevens (Cbp) – ontvangt een melding. Daarnaast ontvangt in veel gevallen ook degene wiens persoonsgegevens het betreft een melding, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Is er sprake van nalatigheid om te melden, dan kan het Cbp een boete opleggen van maximaal 450.000 euro.

Met betrekking tot de hoogte van deze nieuwste compliance boete overweegt de Memorie van Toelichting (sub 5):

Voorgesteld wordt een maximumboete van € 450.000,= […]. Dit is een hoog bedrag in verhouding tot de huidige boetemaxima in de Wbp. Dit hoge maximum weerspiegelt het belang dat moet worden gehecht aan het geven van transparantie bij de doorbreking van beveiligingsmaatregelen en het verlies aan vertrouwen dat het gevolg kan zijn van het nalaten van het treffen van de nodige maatregelen. […] Het voorstel voor een EU-verordening algemene gegevensbescherming kent overigens een aanzienlijk hoger boetemaximum voor hetzelfde vergrijp.

Het Cbp zet zich al jaren in voor e-privacy. Onder meer in Europees verband, binnen de zogeheten “Artikel 29-Groep”. Partijen die er veel aan gelegen is de wetgeving betreffende e-privacy te monitoren en te beïnvloeden, doen er goed aan deze Europese wetgevingstrajecten nauwgezet te volgen. BANNING Advocaten helpt zulke partijen bij lobby en public affairs management.