Sinds 1 januari 2016 is de meldplicht datalekken officieel van kracht in Nederland. Organisaties en bedrijven moeten sindsdien iedere datalek (‘een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen of ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens’) melden aan de Autoriteit Persoonsgegevens (AP).
Door Céline Teeuwen
De AP was voorheen bekend als het Cbp, College bescherming persoonsgegevens. Een datalek moet daarnaast gemeld worden aan de betrokkene (oftewel degene wiens gegevens het betreft) indien het lek ‘waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer’. Dit is nogal een belasting voor bedrijven. Niet alleen zal men voortaan erg alert moeten zijn op beveiligingsincidenten, ook de mogelijke imagoschade die een dergelijke melding zal opleveren, en kosten om de informatiebeveiliging te verbeteren zijn belangrijke consequenties van de meldplicht. Gelet ook op de uitbreiding van de boetebevoegdheden van de AP per 1 januari 2016, is de meldplicht een belangrijke wettelijke verplichting om rekening mee te houden voor bedrijven.
Uit een recente reactie van AP-voorzitter Jacob Kohnstamm blijkt echter dat het voorlopig zo’n vaart niet zal lopen. Kohnstamm geeft aan dat er voorlopig geen extra personeel aangenomen wordt bij de AP, waardoor men selectief om zal moeten gaan met het behandelen van gedane meldingen. Met veel van de meldingen die gedaan worden bij de AP zal dus waarschijnlijk niets gebeuren. Wellicht jammer voor burgers, aangezien het doel van de wetgever bij het invoeren van de meldplicht – het beperken van de gevolgen van een datalek voor betrokkenen en bijdragen aan behoud en herstel van vertrouwen in de omgang met persoonsgegevens – op deze manier niet bepaald nageleefd wordt.
Op 7 januari 2016 gaf Kohnstamm overigens aan dat er in de eerste week van januari minder dan 20 meldingen binnen zijn gekomen; een veel lager aantal dan men in eerste instantie verwachtte. Of dit ligt aan het feit dat bedrijven hun beveiliging goed op orde hebben of dat bedrijven zich (on)bewust niet aan de nieuwe meldplicht houden, is echter de vraag.