Hoge boetes bij datalek

Per 1 januari 2016 wordt de Wet meldplicht datalekken van kracht. Deze verandert de Wet bescherming persoonsgegevens (Wbp) door toevoeging van een meldplicht bij inbreuken op beveiligingsmaatregelen voor persoonsgegevens. Daarnaast komt er een algemene boetebevoegdheid voor overtreding van de Wbp. Ook wijzigt de naam van het College bescherming persoonsgegevens (CBP) in ‘Autoriteit Persoonsgegevens’.

De nieuwe wet is bedoeld om de gevolgen van een datalek zoveel mogelijk te beperken. Dit houdt in dat organisaties (zowel bedrijven als overheden) bij een datalek direct een melding moeten doen bij toezichthouder CBP en alle betrokkenen moet informeren. Op het niet melden van een datalek staat een aanzienlijke boete. Voorbeelden van datalekken zijn een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand.

Onduidelijkheid meldplicht toezichthouder

De uitbreiding van bevoegdheden van het CBP, de hoogte van de boetes en de strenge verplichtingen noodzaken organisaties de beveiliging zeer serieus te nemen en waar nodig aan te scherpen. Het is voor organisaties echter nog niet geheel helder wanneer er sprake is van meldplicht aan het CBP. De wet verplicht tot melden indien “de inbreuk op de beveiliging” leidt “tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”. Ook de meldplicht bij de betrokkene zelf is nog wat vaag: “de verantwoordelijke stelt de betrokkene onverwijld in kennis van de inbreuk […] indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer”.

Richtsnoeren CBP

Om meer helderheid te scheppen in deze normen in de wet heeft het CBP conceptrichtsnoeren gepubliceerd ter consultatie. Het NUV heeft hier via het VNO-NCW aan deelgenomen.

Achtergrondinformatie

Lees meer over dit onderwerp in het dossier Privacy: