Ingrijpende gevolgen invoering meldplicht datalekken

Op 26 mei jl. heeft de Eerste Kamer het wetsvoorstel aangenomen dat onder andere ziet op de wijziging van de Wet bescherming persoonsgegevens (Wbp). Op grond van deze wetswijziging is de verantwoordelijke in een groot aantal gevallen verplicht een datalek te melden bij de toezichthouder, het College bescherming persoonsgegevens (CBP) en afhankelijk van de ernst ook bij de betrokkene. Wat heeft dit voor gevolgen voor het bedrijfsleven?

Tweeledige meldplicht

Indien er een inbreuk (bijvoorbeeld een hack of een cyberaanval) is op de getroffen beveiligingsmaatregelen en dit ernstige nadelige gevolgen heeft voor de bescherming van de persoonsgegevens of hierop een aanzienlijke kans bestaat, is de verantwoordelijke verplicht het datalek te melden bij het CBP. Ook wanneer er sprake is van voldoende passende beveiligingsmaatregelen is er sprake van een meldplicht. Wanneer het datalek ook nog eens “waarschijnlijk ongunstige gevolgen” zal hebben voor de persoonlijke levenssfeer van de betrokkene (d.w.z. degene op wie de persoonsgegevens betrekking hebben), is de verantwoordelijke verplicht dit te melden aan de betrokkene. Zeker bij een inbreuk op een grote database met gevoelige gegevens brengt dit enorme administratieve en financiële lasten met zich mee.

Reikwijdte meldplicht

Er bestaat nog veel onduidelijkheid over de reikwijdte van de meldplicht. In de Memorie van Toelichting wordt uiteengezet dat de aard van de inbreuk en de aard van de gegevens van belang kunnen zijn voor de vraag of er gemeld moet worden. Het CBP zal deze open normen nog nader uitwerken in richtsnoeren.

Onverwijld melden

Het wetsvoorstel schrijft voor dat een datalek onverwijld gemeld moet worden, zowel bij het CBP als bij de betrokkene. Het is dan ook van belang al van te voren interne procedures op te stellen om tijdig te kunnen voldoen aan de gestelde vereisten van de nieuwe wet. Daarnaast is het belangrijk afspraken over de nakoming van alle verplichtingen rondom beveiligingsinbreuken goed vast te leggen met de bewerker van de persoonsgegevens in een bewerkersovereenkomst. Op deze manier kan er snel geschakeld worden wanneer er sprake is van een datalek.

Boetebevoegdheid CBP

Het CBP krijgt de bevoegdheid om hoge boetes op te leggen, bijvoorbeeld wanneer de bovenstaande meldplicht wordt geschonden. Dit kan resulteren in boetes tot wel € 810.000,00 (of 10% van de omzet, als dat hoger is). Dit staat in schril contrast met de huidige boetebevoegdheid van de toezichthouder: een maximum van € 4.500,00.

Conclusie

De datum van inwerkingtreding is vooralsnog onbekend, maar verwacht wordt dat de nieuwe wet op 1 januari 2016 in werking zal treden. Gezien de ingrijpende gevolgen voor het bedrijfsleven is het zaak om hier zo snel mogelijk op te anticiperen. Het belang van goede interne procedures en aanpassing van de bewerkersovereenkomst is groot. Onze IT-advocaten kunnen u hierbij helpen! Vragen over de meldplicht datalekken, of andere privacyvraagstukken? Neem contact op met het IT- en privacy team van Ploum.