En jazeker ook een nieuwe Europese meldplicht datalekken!

Ook op Europees niveau is nieuwe regelgeving in de maak over de meldplicht bij het lekken van data. Er wordt momenteel hard gewerkt aan de General Data Protection Regulation. In het Nederlands: de Algemene verordening gegevensbescherming. In de verordening staat een algemene verplichting tot het melden van datalekken. Deze nieuwe Europese verordening zou boven onze wet gaan. Dus ook boven de nieuwe Nederlandse wet die in de maak is, in mijn vorige blog schreef ik over dit wetsvoorstel.

Niet melden kan behoorlijk worden bestraft op grond van de nieuwe verordening:

a fine up to 100 000 000 EUR or up to 5% of the annual worldwide turnover in case of an enterprise, whichever is greater.

Ik schreef “hard gewerkt”: dat betekent niet dat de verordening ook morgen van toepassing is in Nederland. Een Europese verordening heeft rechtstreekse werking, wat zoveel betekent als dat de regelgeving niet eerst omgezet te worden in Nederlandse wetgeving. Wel krijgen de lidstaten na vaststelling van de verordening eerst twee jaar de tijd om eigen wetgeving in lijn te brengen met een nieuwe Europese verordening.

Wanneer gaan die twee jaar dan in? Op 12 maart (2014) heeft het Europese Parlement vóór de hervorming van de gegevensbescherming gestemd. Wat gebeurt er nu verder? “To become law the proposed Regulation has to be adopted by the Council of Ministers using the “ordinary legislative procedure” (co-decision).” Ik zal jullie besparen hoe deze medebeslissingsprocedure (co-decisie ) er precies uitziet. Als alles heel voorspoedig zou verlopen, zou de verordening begin 2015 aangenomen kunnen worden. Dan treedt deze in werking in 2017.

Terugkomend op het Nederlandse wetsvoorstel voor de meldplicht: de vraag is nu, heeft het zin om onze (afwijkende) meldplicht op te tuigen en in te voeren om de tijd te overbruggen tussen nu en de inwerkingtreding van de meldplicht? Zowel de huidige richtlijn (95/46/EC) en de toekomstige verordening maken immers geen onderscheid tussen lekken met of zonder ernstige nadelige gevolgen. Dit onderscheid is wel opgenomen in het Wetsvoorstel.

Tegen de tijd dat iedereen met de nieuwe wet  kan werken treedt de verordening in werking. Daar een verordening boven de wet gaat, moet vanaf dan de verordening naleven. Is het niet mogelijk om nu al aan te sluiten bij de bredere meldingsplicht? 

ICTRecht Academy

Wat staat er in een bewerkersovereenkomst en hoe onderhandel je daar over? Hoe zit het met de Meldplicht Datalekken en hoe bereid ik mijn organisatie voor op de Algemene Verordening Gegevensbescherming? Met de trainingen van ICTRecht Academy krijgt u praktische antwoorden op deze vragen.

 

Terug naar overzicht