Home / Publicaties / Privacyteam CMS DSB dient reactie in op wetsvoorstel...

Privacyteam CMS DSB dient reactie in op wetsvoorstel meldplicht datalekken en cameratoezicht

03/02/2012

De regering heeft plannen om een meldplicht in te stellen voor bedrijven en instellingen die het slachtoffer worden van een "digitale inbraak" of ander beveiligingsincident waardoor (mogelijk) persoonsgegevens op straat terecht zijn gekomen. Hiertoe is een wijziging van de Wet Bescherming Persoonsgegevens ("Wbp") in de maak. Naast de verplichte melding van "data lekken" geeft de nieuwe wet ook een ruimere regeling voor het gebruik van videobeelden van beveiligingscamera's.

Tot 29 februari 2012 ligt dit wetsvoorstel tot wijziging van de Wbp ter consultatie. Dat betekent dat eenieder wordt uitgenodigd om op dit wetsvoorstel te reageren. Het data privacy team van CMS Derks Star Busmann doet gaat een bijdrage leveren aan deze consultatieronde. Op basis van de eigen ervaringen van de privacy recht specialisten en gesprekken met cliënten en relaties die veel te maken hebben met gegevensverzamelingen en informatiebeveiliging, zullen wij opmerkingen bij de huidige tekst van het wetsvoorstel indienen.

Wij nodigen iedereen die geïnteresseerd is in de toekomstige wetgeving, of zelf ideeën of aandachtspunten heeft ten aanzien van de voorgenomen wettelijke meldplicht datalekken, van harte uit om daarover met ons van gedachten te wisselen. De aandachtspunten die onze cliënten ons meegeven zullen wij zoveel mogelijk verwerken in het consultatiedocument. Bedrijven en instellingen die met ons meedenken over dit onderwerp worden uitsluitend genoemd indien zij daarvoor uitdrukkelijke toestemming hebben gegeven.

Lees hieronder meer informatie over het wetsvoorstel en de internetconsultatie. Zie ook Overheid.nl.Internetconsultatie

De consultatieversie van het wetsvoorstel

Cameratoezicht
Het voorstel met betrekking tot cameratoezicht moet het mogelijk maken om beelden van strafbare feiten afkomstig van beveiligingscamera's van particulieren of bedrijven te kunnen inzetten voor opsporingsdoeleinden. De voorwaarden daarvan zullen nader ingevuld worden in een uitvoeringsbesluit (Amvb).

Meldplicht datalekken
Met het voorstel met betrekking tot de meldplicht van datalekken wil men bereiken dat bedrijven en overheid aan het CBP gaan melden wanneer zij zijn geconfronteerd met een lek in de beveiliging van hun geautomatiseerde verwerking van persoonsgegevens.

De meldplicht zal opgenomen worden in een nieuw art. 34a Wbp en wordt gekoppeld aan de beveiligingsmaatregelen van art. 13 Wbp.

Criteria
De meldplicht geldt in geval van (cumulatief):
- een inbreuk op de maatregelen van art. 13 Wbp;
- waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijk risico op verlies of onrechtmatige verwerking;
- waaraan nadelige gevolgen voor de persoonsgegevens en de persoonlijke levenssfeer van de betrokkene zijn verbonden.

Wat is een inbreuk op de maatregelen van art. 13 Wbp?
Art. 13 Wbp verplicht de verantwoordelijke tot het nemen van "passende technische en organisatorische maatregelen" om persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking.

Wie moet melden?
De verantwoordelijke moet melden (art. 34a lid 1 en 2 Voorstel Wbp).
Echter, de bewerker lijkt hierbij ook een rol te krijgen.
Artikel 14 zal worden gewijzigd in die zin dat:
- de verantwoordelijke ervoor moet zorgen dat een bewerker voldoende waarborgen biedt ten aanzien van technische en organisatorische beveiligingsmaatregelen ten aanzien van de melding van een inbreuk op die maatregelen die voldoet aan de hiervoor genoemde criteria (art. 14 lid 1 Voorstel Wbp);
- de verantwoordelijke ervoor moet zorgen dat de bewerker de verplichtingen nakomt die op de verantwoordelijke rusten ten aanzien van de verplichting tot melding van een inbreuk op de maatregelen van artikel 13 Wbp die voldoet aan de hiervoor genoemde criteria (art. 14 lid 3 sub c Voorstel Wbp);
- de verplichting tot melding van een inbreuk op de maatregelen van artikel 13 Wbp die voldoet aan de hiervoor genoemde criteria ook moet worden vastgelegd in de bewerkersovereenkomst (art. 14 lid 5 Voorstel Wbp)

Aan wie moet worden gemeld?
- het CBP (art. 34a lid 1 Voorstel Wbp)
- de betrokkene (dwz: de individuen om wiens gegevens het gaat; art. 34a lid 2 Voorstel Wbp)

Tijdstip
Onverwijld (art. 34a lid 1 en 2 Voorstel Wbp)

Wat moet men melden?
Aan het CBP (art. 34a lid 3 en 4 Voorstel Wbp):
- dat een inbreuk heeft plaats gevonden;
- aard van de inbreuk;
- instanties waar meer informatie over de inbreuk kan worden verkregen;
- aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken;
- beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens;
- maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen.

Aan de betrokkene (art. 34a lid 3 Voorstel Wbp):
- dat een inbreuk heeft plaats gevonden;
- aard van de inbreuk;
- instanties waar meer informatie over de inbreuk kan worden verkregen;
- aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken;

Kennisgeving aan betrokkene
Kennisgeving aan betrokkene dient behoorlijke en zorgvuldige informatievoorziening te waarborgen. Daarbij moet rekening gehouden worden met de aard van de inbreuk, de gevolgen voor de verwerking, de kring van betrokkenen en de kosten van tenuitvoerlegging (art. 34a lid 5 Voorstel Wbp).

De kennisgeving aan betrokkene mag achterwege blijven indien de verantwoordelijke naar oordeel van het CBP gepaste technische beveiligingsmaatregelen heeft genomen waardoor derden geen kennis kunnen nemen van de persoonsgegevens ("versleuteld of anderszins onbegrijpelijk gemaakt"; art. 34a lid 6 Voorstel Wbp). Indien de verantwoordelijke geen kennisgeving aan betrokkene doet, kan het CBP verlangen dat hij dit alsnog doet (art. 34a lid 7 Voorstel Wbp).

Overzicht
De verantwoordelijk moet een overzicht van alle inbreuken bijhouden (art. 34a lid 8 Voorstel Wbp).

Uitzonderingen
Meldplicht geldt niet bij:
- melding o.g.v. art 11.3a lid 1 en 2 Tw (art. 34a lid 9 Voorstel Wbp);
- verplichting tot vertrekking van informatie o.g.v. art 3:10 lid 3 of 4:11 lid 4 Wft (art. 34a lid 10 Voorstel Wbp)

Sancties
Op het overtreden van de verplichtingen in art. 34a van het Voorstel Wbp staat een boete van maximaal € 200.000,- (art. 66 lid 2 Voorstel Wbp).

Consultatievragen:
Er is een aantal concrete vragen gesteld in het kader van de consultatie. Daarnaast is het mogelijk om een document aan een reactie toe te voegen. De vragen luiden:

1. Vindt u dat de voorstellen voor de verruiming van het gebruik van camerabeelden ver genoeg gaan?

2. Vindt u dat de voorstellen voor de verruiming van het gebruik van camerabeelden juist te ver gaan?

3. Vindt u dat de regeling van de meldplicht voor datalekken ver genoeg gaat?

4. Vindt u dat manier waarop de Staatssecretaris de meldplicht probeert te beperken tot gevallen waarin er echt wat aan de hand is voldoende effectief?

5. Vindt u de voorgestelde maximumboete van € 200.000,= voor diegene die nalaat aan de meldplicht te voldoen voldoende hoog?