Op 26 mei 2015 heeft de Eerste Kamer het wetsvoorstel Meldplicht datalekken (pdf, 59 kB) aangenomen. Het voorstel wordt daarmee wet en zal naar verwachting op 1 januari 2016 in werking treden. De Wet bescherming persoonsgegevens ("Wbp") en de Telecommunicatiewet ("Tw") zullen hierdoor op een aantal punten worden gewijzigd. De veranderingen hebben grote consequenties voor organisaties die persoonsgegevens bewaren van bijvoorbeeld hun klanten. Hieronder volgt een behandeling van de voornaamste wijzigingen.
Meldplicht datalekken
Naar aanleiding van een groot aantal incidenten waarbij na het kraken van beveiligingssystemen de persoonsgegevens van vele mensen zo maar 'op straat kwamen te liggen' (bijvoorbeeld de affaire rondom het Groene Hart-ziekenhuis), is het wetsvoorstel Meldplicht datalekken tot stand gekomen. Met 'datalek' bedoelt de wet iedere inbreuk op de beveiliging van persoonsgegevens. Zo'n datalek moet in principe worden gemeld. Een eventuele meldplicht staat los van de vraag of de gehanteerde beveiligingsmaatregelen voldoende zijn geweest. De meldplicht is vooral bedoeld om de nadelige gevolgen van een datalek binnen de perken te houden en het vertrouwen van het publiek in de omgang met persoonsgegevens te behouden.
Er worden twee varianten op de meldplicht voor ernstige datalekken geïntroduceerd: een datalek moet worden gemeld aan het College bescherming persoonsgegevens ("CBP") zodra het een kans oplevert op nadeel voor de bescherming van persoonsgegevens. Vervolgens moet ook aan de personen over wie de gegevens gaan een melding worden gedaan, als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor de privacy van die personen.
Datalek en bewerkersovereenkomst
Een heel belangrijk gevolg voor de praktijk is dat met ingang van 1 januari 2016 alle bewerkersovereenkomsten aan de meldplicht datalekken aangepast moeten zijn. Iedere organisatie die 'buiten de deur' persoonsgegevens laat verwerken, moet met de dienstverlener(s) regelen hoe in de praktijk met een datalek en de wettelijke meldplicht wordt omgegaan.
Uitbreiding boetebevoegdheden CBP
In deze nieuwe wet worden ook de boetebevoegdheden van het CBP aanzienlijk verruimd. Waar de privacy-toezichthouder nu nog een maximale boete kan opleggen van € 4.500,-, zal met ingang van 1 januari 2016 de maximale boete € 810.000,- of 10% van de jaaromzet van de rechtspersoon kunnen bedragen. Daar komt nog eens bij dat ten aanzien van veel meer bepalingen uit de Wbp dan nu, het CBP handhavend kan gaan optreden; ook de bepalingen over beveiliging en meldplicht.
Vooruitlopen op Algemene Verordening Gegevensbescherming
Met de nieuwe meldplicht en uitgebreide boetebevoegdheden van het CBP, loopt Nederland vooruit op de Algemene Verordening Gegevensbescherming ("AVG"), de nieuwe EU-verordening die in de toekomst in alle lidstaten de nationale persoonsgegevenswetten zal vervangen (ook de Wbp). De AVG zal eveneens een meldplicht gaan bevatten en de boetebevoegdheden aanzienlijk verruimen. De exacte reikwijdte van die bepalingen is nog niet bekend. Naar verwachting zal de AVG in 2016 worden vastgesteld.
