Vanaf vandaag moet een datalek gemeld worden bij het CBP als er sprake is van een inbreuk op de beveiliging, en deze inbreuk leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens.
– COLUMN-
Op 27 mei schreef Lisette Meij een blog over de in aangenomen wetswijziging ‘Meldplicht van datalekken en uitbreiding bestuurlijke boetebevoegdheid College Bescherming Persoonsgegevens (CBP)’. Zij sloot de blog af met de mededeling dat de wetswijziging nog niet in werking was getreden, en dat het nog even afwachten was wanneer dit daadwerkelijk zou gebeuren. Naar verwachting was dit 1 januari 2016. Nu blijkt de wetswijziging vandaag al te zijn gepubliceerd. Lisette vat de gevolgen en uitwerking van de wetswijziging nog even samen.
Melding bij CBP
Vanaf vandaag moet een datalek gemeld worden bij het CBP als er sprake is van een inbreuk op de beveiliging, en deze inbreuk leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Daar komt bij dat je een datalek niet alleen moet melden bij het CBP, maar óók bij de betrokkenen indien het lek nadelige gevolgen kan hebben voor de persoonlijke levenssfeer van de betrokkenen. Dit laatste is overigens niet nodig indien er passende beveiligingsmaatregelen zijn genomen om kennisname van de gelekte gegevens te voorkomen. Denk hierbij aan encryptie, waardoor degene die toegang heeft tot de gegevens deze niet kan lezen. Meld je een datalek toch niet dan kan het CBP een boete opleggen.
Forse boetes
Voorheen was het nog niet zo spannend als het CBP een boete zou opleggen. De hoogte van een boete was namelijk maximaal €4.500. De afweging voor het netjes naleven van de Wet bescherming persoonsgegevens (Wbp), of het riskeren van een boete van maximaal €4.500, was daarom vaak snel gemaakt. Met dank aan deze wetswijziging kunnen de boetes die het CBP op kan leggen echter oplopen tot maximaal €810.000. Dat is wel even andere koek. Houd je je niet aan de Wbp, dan riskeer je dus een flinke boete. Uiteraard zul je eerst nog op de vingers getikt worden door het CBP, en word je gewezen op wat er mis gaat vóórdat je (maximaal) €810.000 moet aftikken.
Wet in werking, richtsnoeren volgen
Het is allemaal nog ietwat vaag, maar het CBP zal, naar verwachting, richtsnoeren opstellen die meer duidelijkheid geven over de daadwerkelijke handhaving van deze wetswijziging. Desondanks is de wetswijziging wel al in werking getreden, dus zul je niet langer kunnen wachten met het melden van een datalek indien deze nu plaatsvindt. Zorg er dus voor dat je de juiste beveiligingsmaatregelen neemt, en een goed actieplan op de plank hebt liggen, beveiliging is immers nooit 100% waterdicht. Daarentegen kun je wel zoveel mogelijk maatregelen nemen een lek te voorkomen. Zorg er daarom voor dat je vastlegt wie een lek meldt, wie er bij een lek geïnformeerd moet worden, welke acties ondernomen worden om een lek te dichten en wie deze verantwoordelijkheden draagt.
Boetebevoegdheid CBP over alle plichten
Let overigens op dat de uitbreiding van de boetebevoegdheid van het CBP niet enkel ziet op het melden datalekken, maar op alle plichten die uit de Wet bescherming persoonsgegevens volgen. De meldplicht is slechts één van deze plichten. Zorg er daarom voor dat de gehele gegevensverwerking in lijn is met deze wet. Ik wacht in spanning af wat deze vrijdag ons nog meer gaat brengen. Het is in ieder geval een verrassende afsluiting van deze week!
Lisette Meij is juridisch adviseur bij ICTRecht en houdt zich zich voornamelijk bezig met alle juridische aspecten rondom privacy en Big Data
Zie ook: Eerste Kamer Akkoord
Gemeentenu congressen organiseert in november een congres rondom privacy. Meer informatie daarover vindt u hier
Geef een reactie