Opinie

Privacybescherming zwaarder aangezet met meldplicht datalekken en kans op boetes

Eerste Kamer stemt in met wetsvoorstel

Stel je voor: je neemt ergens een dienst af en je gegevens worden gestolen door een hacker. Of verloren door een onzorgvuldige medewerker. Een net bedrijf stelt je daarvan op de hoogte, maar dat is niet verplicht. Dat laatste duurt niet lang meer.

Bart Witteman - 13 juli 2015

Update:

Het wetsvoorstel Meldplicht datalekken en Uitbreiding boetebevoegdheid CBP is op 10 juli gepubliceerd in het Staatsblad. Hiermee wordt het voorstel van kracht vanaf 1 januari 2016. Dit betekent dat vanaf dat moment het CBP zware boetes kan uitdelen en dat de meldplicht voor incidenten geldt. Het College bescherming persoonsgegevens zal in het najaar van 2015 Richtsnoeren publiceren over de voorwaarden waaronder deze incidenten gemeld moeten worden.

Op 26 mei 2015 heeft de Eerste Kamer ingestemd met een wetsvoorstel waardoor, onder bepaalde voorwaarden, een datalek gemeld moet worden aan de toezichthouder (het College bescherming persoonsgegevens, of CBP) en de persoon van wie de gegevens zijn.

Daarnaast kan het CBP straks ook flinke boetes uitdelen. Voor veel bedrijven kan dit grote gevolgen hebben: niet alleen omdat de boetes hoog kunnen zijn (meer dan € 800.000 of 10% van de jaaromzet), maar ook omdat zo’n boete veel negatieve publiciteit met zich meebrengt.
 

Om te melden moet je kunnen detecteren

Je kan een lek alleen melden als je weet dat het heeft plaatsgevonden. Daarom is het belangrijk dat er detectie van incidenten plaatsvindt. Veel organisaties hebben een proces om beveiligingsincidenten te detecteren en af te handelen. In dit proces moet duidelijk zijn wanneer het bij een lek tevens om persoonsgegevens gaat. Hierbij is het hebben van een heldere procedure, en vooral voldoende kennis hiervan bij medewerkers, van groot belang.
 

Bepaal de verwachte gevolgen van een inbreuk

Het voorstel beperkt zich tot inbreuken die leiden tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Wat dit precies inhoudt is nog niet duidelijk: daar zal de analyse van organisaties zelf ook een rol in spelen. Uiteindelijk bepaalt het CBP wat ‘ernstig’ is.

Zoals voormalig staatssecretaris Teeven aangaf: de ledenlijst van de plaatselijke korfbalvereniging die op straat ligt is waarschijnlijk niet ernstig, toegang tot het patiëntenbestand van het lokale ziekenhuis waarschijnlijk wel. Dat biedt nogal wat ruimte. Het CBP zal hiervoor richtlijnen opstellen.
 

Stel CBP en betrokkene op de hoogte

De meldplicht kent twee kanten: enerzijds moet het CBP ingelicht worden over inbreuken op de beveiliging, anderzijds moet de betrokkene geïnformeerd worden wanneer de inbreuk specifiek op hem of haar betrekking heeft. Daarbij worden verschillende criteria gebruikt:

  • Wanneer een inbreuk op de beveiliging plaatsvindt die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens moet het CBP onverwijld (‘zonder vertraging, rekening houdend met de omstandigheden van het geval’) ingelicht worden.
  • Wanneer een inbreuk waarschijnlijk ongunstige gevolgen heeft voor de persoonlijke levenssfeer van een specifieke persoon, moet deze ook onverwijld ingelicht worden.

Het CBP zal dus in het algemeen eerder ingelicht moeten worden dan een specifiek persoon. Bij de melding kan het College besluiten dat inlichting van individuele personen alsnog noodzakelijk is. Het is trouwens slim om goed na te denken over encryptie: bij verlies van ‘vakkundig versleutelde gegevens’ hoeft in het algemeen geen melding aan de betrokkene gedaan te worden – dan valt immers ook aannemelijk te maken dat er geen ‘waarschijnlijk ongunstige gevolgen’ zijn voor de betrokkene.
 

Het CBP kan nu ook echt boetes uitdelen

De boetebevoegdheden van het CBP waren altijd heel beperkt. De voornaamste middelen waren gericht op het gedwongen repareren van tekortkomingen: het toepassen van bestuursdwang en het opleggen van een dwangsom. Er is veel gesproken over de hoge boetes in de aangekondigde Europese Verordening Gegevensbescherming, nu deze wat vertraging lijkt op te lopen komt Nederland zelf met een uitgebreide boetebevoegdheid.

Het CBP kan straks voor een brede set overtredingen boetes uitdelen van maximaal € 810.000. Wanneer een bindende aanwijzing niet wordt opgevolgd, is zelfs een maximumbedrag van 10% van de jaaromzet mogelijk. Boetes van deze hoogte zullen niet snel uitgedeeld worden. Het is wel helder dat bedrijven rekening moeten houden met een beter bewapende toezichthouder.

Vond u dit nuttig?

Gerelateerde onderwerpen