Wetsvoorstel meldplicht datalekken en uitbreiding boetebevoegdheid CBP aangenomen

donderdag, 4 juni 2015

De Eerste Kamer heeft op 26 mei 2015 het wetsvoorstel meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid CBP aangenomen. Hierdoor zal de Wet bescherming persoonsgegevens (Wbp) op twee belangrijke onderdelen worden gewijzigd.

Bedrijven zullen verplicht worden een datalek met mogelijk nadelige gevolgen voor de persoonlijke levenssfeer te melden aan zowel het College Bescherming Persoonsgegevens (CBP) als aan de betrokkenen. Op de tweede plaats krijgt het CBP de bevoegdheid om overtredingen van een groot aantal voorschriften van de Wbp met een forse bestuurlijke boete te bestraffen. Het CBP zal voortaan in het maatschappelijk verkeer de naam “Autoriteit Persoonsgegevens” dragen. Wanneer de gewijzigde wet in werking treedt wordt bij Koninklijk Besluit bepaald.

Meldplicht datalekken
De regering wil met de meldplicht datalekken de gevolgen van een inbreuk op de beveiliging van persoonsgegevens zoveel mogelijk beperken en het vertrouwen in de omgang met persoonsgegevens herstellen. In artikel 13 Wbp is bepaald dat bij de verwerking van persoonsgegevens passende technische en organisatorische maatregelen moeten worden genomen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Indien een inbreuk op de beveiligingsmaatregelen zoals genoemd in artikel 13 Wbp leidt of kan leiden tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens moet die worden gemeld aan het CBP (art. 34a lid 1 Wbp). Als deze beveiligingsinbreuk bovendien ongunstige gevolgen kan hebben voor de persoonlijke levenssfeer van de personen van wie de gegevens worden verwerkt, moet ook aan deze personen worden gemeld (art. 34a lid 2 Wbp).

Ondernemingen zullen vanaf de inwerkingtreding van de wijzigingen - op straffe van een bestuurlijke boete - moeten voldoen aan de meldplicht datalekken. Het is daarom van belang inbreuken op de beveiliging van persoonsgegevens en datalekken goed in de gaten te houden en te documenteren. Bovendien zullen ondernemingen met iedere bewerker die persoonsgegevens voor de onderneming verwerkt (zoals een externe salarisadministrateur of een cloud provider) in een bewerkersovereenkomst afspraken moeten vastleggen over de meldplicht datalekken (art. 14 lid 5 Wbp).

De Eerste Kamer heeft aangegeven dat de gewijzigde wet onvoldoende duidelijk maakt wanneer een datalek gemeld moet worden, aan wie en hoe. Het CBP heeft aangekondigd over de meldplicht datalekken richtsnoeren op te stellen. Hopelijk zullen die voldoende duidelijkheid bieden. Nederland loopt overigens met de meldplicht datalekken vooruit op Europese meldplicht die in de Algemene Verordening Gegevensbescherming gaat worden opgenomen. Het streven van de Europese Commissie is om de verordening nog dit jaar vast te stellen. De verordening zal twee jaar na vaststelling in werking treden.

Boetes
De boetebevoegdheid van het CBP wordt aanzienlijk verruimd (art. 66 Wbp). Dat geldt niet alleen voor een overtreding van bovengenoemde meldplicht datalekken, maar ook voor de overtreding van een groot aantal andere bepalingen uit de Wbp. Per overtreding kan een boete worden opgelegd van maximaal € 810.000,- of 10% van de jaaromzet van de rechtspersoon. Het CBP kan direct een boete opleggen indien de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid. Anders zal het CBP eerst een bindende aanwijzing moeten geven waarin staat wat de overtreding is en binnen welke termijn die moet worden hersteld. Zie hierover tevens ons eerdere artikel.