We hebben er even op moeten wachten maar het is zover: de wetswijziging ‘Meldplicht van datalekken en uitbreiding bestuurlijke boetebevoegdheid College Bescherming Persoonsgegevens (CBP)’ is gisteren door de Eerste Kamer aangenomen. Dankzij deze wetswijziging is het niet meer toegestaan het lekker voor jezelf te houden als er een datalek heeft plaatsgevonden.
Update: Met de intreding van de Algemene Verordening Gegevensbescherming (AVG) komen er nieuwe regels voor datalekken en de registratie.
'En wanneer moet je een datalek dan melden?' hoor ik je denken. Goede vraag. Een datalek moet gemeld worden bij het CBP als er sprake is van een inbreuk op de beveiliging, en deze inbreuk leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Daar komt bij dat je een datalek niet alleen moet melden bij het CBP, maar óók bij de betrokkenen indien het lek nadelige gevolgen kan hebben voor de persoonlijke levenssfeer van de betrokkenen. Dit laatste is overigens niet nodig indien er passende beveiligingsmaatregelen zijn genomen om kennisname van de gelekte gegevens te voorkomen. Denk hierbij aan encryptie, waardoor degene die toegang heeft tot de gegevens deze niet kan lezen. Meld je een datalek toch niet dan kan het CBP een boete opleggen.
Voorheen was het nog niet zo spannend als het CBP een boete zou opleggen. De hoogte van een boete was namelijk maximaal €4.500. De afweging voor het netjes naleven van de Wet bescherming persoonsgegevens (Wbp), of het riskeren van een boete van maximaal €4.500, was daarom vaak snel gemaakt. Met dank aan deze wetswijziging kunnen de boetes die het CBP op kan leggen echter oplopen tot maximaal €810.000. Dat is wel even andere koek. Houd je je niet aan de Wbp, dan riskeer je dus een flinke boete. Uiteraard zul je eerst nog op de vingers getikt worden door het CBP, en word je gewezen op wat er mis gaat vóórdat je (maximaal) €810.000 moet aftikken.
De wetswijziging is op het moment aangenomen door de Eerste Kamer, maar nog niet in werking getreden. Voordat de wetswijziging in werking treedt zal het CBP, naar verwachting, richtsnoeren opstellen die meer duidelijkheid geven over de daadwerkelijke handhaving van deze wetswijziging. Deze richtsnoeren zullen hoogstwaarschijnlijk meer duidelijkheid/voorbeelden geven over wanneer er nou precies sprake is van ‘een aanzienlijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens en/of nadelige gevolgen voor de persoonlijke levenssfeer van betrokkenen’. We wachten nog even geduldig af.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.