In juni 2013 deed de Eerste Kamer een wetsvoorstel ter wijziging van de Wet bescherming persoonsgegevens (Wbp) en de Telecommunicatiewet. Doel van dit voorstel was om een meldplicht te creëren in geval van doorbreking van maatregelen voor de beveiliging van persoonsgegevens die in het bezit van bedrijven zijn.[1]
Door Céline Teeuwen
Kort gezegd houdt dit in dat er voor bedrijven een meldplicht ontstaat in geval van datalekken. Aanleiding voor dit wetsvoorstel was onder andere een aantal incidenten waarbij gegevens van personen vrijkwamen, wat nadelige gevolgen opleverde voor de persoonlijke levenssfeer van de betrokkenen.[2] Het College bescherming persoonsgegevens (Cbp) zal toezicht houden op de naleving van de meldplicht en wordt bevoegd om – indien de meldplicht niet wordt nageleefd – een bestuurlijke boete op te leggen.
Op 19 juni 2015 is het aangenomen wetsvoorstel gepubliceerd,[3] waarbij de definitieve naam is gewijzigd naar ‘Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp’. De belangrijkste wijziging in de Wbp is de toevoeging van artikel 34a. Lid 1 van dit artikel bepaalt dat de verantwoordelijke het College op de hoogte brengt van een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen of ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. De verantwoordelijke is de (rechts)persoon die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt.[4] Verder bepaalt lid 2 dat de verantwoordelijke ook de betrokkene op de hoogte moet brengen van de inbreuk, indien deze ‘waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer’. Bij zowel de melding aan het Cbp als aan de betrokkene moet de verantwoordelijke vermelden waar meer informatie over de inbreuk kan worden verkregen en hoe de negatieve gevolgen beperkt kunnen worden (lid 3). Lid 6 bepaalt verder nog dat lid 2 (het melden van de inbreuk aan betrokkenen) niet geldt, indien de verantwoordelijke ‘passende technische beschermingsmaatregelen’ heeft genomen waardoor de gelekte data niet van waarde zijn voor degene in wiens handen de data komen.
Vervolgens bevat artikel 66 Wbp de bevoegdheid voor het Cbp om een bestuurlijke boete van maximaal 810.000 euro op te leggen.[5] Voordat er een boete opgelegd kan worden, moet het Cbp eerst een bindende aanwijzing geven, waarbij het ook een termijn kan stellen waarbinnen deze aanwijzing moet worden opgevolgd.[6] Dit geldt echter niet indien er sprake is van ernstig verwijtbare nalatigheid of een opzettelijke overtreding aan de kant van de verantwoordelijke.[7] De wetwijziging treedt in werking per 1 januari 2016.[8] Gezien onder andere de reputatieschade die bekendmaking van een datalek kan hebben voor een bedrijf, is de wetswijziging van belang voor alle bedrijven en organisaties.
Interessant om te vermelden is dat er een voorgestelde nieuwe Europese verordening op de planning staat die onder andere verband houdt met een meldplicht in geval van datalekken.[9] Artikel 31 en 32 van de voorgestelde Europese verordening bevatten een plicht tot het melden van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit (in Nederland is dit het Cbp) en aan de betrokkene. Indien de verantwoordelijke de toezichthoudende autoriteit niet op tijd waarschuwt of niet volledig op de hoogte brengt van de inbreuk in verband met persoonsgegevens, kan de geldboete volgens de aankomende Europese wetgeving oplopen tot één miljoen euro of, bij een onderneming, een geldboete van twee procent van de jaarlijkse wereldwijde omzet.[10]
Voor bedrijven en organisaties houdt de wetswijziging van juni 2015 in dat zij per 2016 in ieder geval een plicht hebben om datalekken (die kunnen leiden tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens) te melden bij het Cpb en mogelijk ook de betrokken personen te informeren. Wat precies moet worden verstaan onder termen als ‘ernstige nadelige gevolgen’ is nog onduidelijk. Het Cbp geeft aan hierover richtsnoeren te gaan publiceren; wanneer is nog niet bekend.[11]
[1] Wetsvoorstel meldplicht datalekken, Kamerstukken II 2012/13, 33662, 2, p. 1.
[2] Memorie van Toelichting bij Wetsvoorstel meldplicht datalekken, Kamerstukken II 2012/13, 33662, 3, p. 2.
[3] Stb. 2015, 230.
[4] Wet bescherming persoonsgegevens, artikel 1 sub b.
[5] Art. 66 lid 2 Wbp jo. art. 23 lid 4 WvSr.
[6] Art. 66 lid 3 Wbp.
[7] Art. 66 lid 4 Wbp.
[8] Stb. 2015, 281, p. 2.
[9] General Data Protection Regulation / Voorstel voor een Verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming).
[10] General Data Protection Regulation / Algemene verordening gegevensbescherming, artikel 79 lid 6 sub h.
[11] https://cbpweb.nl/nl/over-privacy/persoonsgegevens/beveiliging-van-persoonsgegevens.