Wetsvoorstel meldplicht datalekken aangenomen

Wetsvoorstel meldplicht datalekken aangenomen

DearBytesBlogWetsvoorstel meldplicht datalekken aangenomen

Het wetsvoorstel meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp is aangenomen door de eerste kamer.

Bedrijven die persoonsgegevens verwerken of opslaan van bijvoorbeeld personeel en klanten, worden hierdoor verplicht tot het melden van zogenoemde datalekken. Het aangenomen wetsvoorstel zorgt daarnaast voor nog een aantal wijzigingen in de Wet bescherming persoonsgegevens (Wbp).

De Wbp legt verschillende verplichtingen op aan bedrijven die persoonsgegevens verwerken of opslaan van bijvoorbeeld hun personeel of klanten. Daar komt nu de verplichting bij om zogenaamde datalekken te melden. Met een datalek bedoelt de wet iedere inbreuk op de beveiliging van persoonsgegevens. Voorbeelden hiervan zijn een hack van een ICT-systeem dat persoonsgegevens bevat, denk aan KPN dat wegens de hack in 2012 een boete van 364.000 moet betalen omdat het volgens de Autoriteit Consument & Markt (ACM) klantgegevens niet goed genoeg heeft beveiligd.

Wetsvoorstel

Introductie meldplichten

Er worden twee meldplichten geïntroduceerd:

  • Een datalek moet worden gemeld aan het College bescherming persoonsgegevens (CBP) wanneer er kans is op een nadelige bescherming van de persoonsgegevens;
  • Er moet aan de personen over wie de gegevens gaan een melding worden gedaan als het datalek ongunstige gevolgen kan hebben voor de privacy van die betreffende personen.

Uitbreiding boetebevoegdheden College bescherming persoonsgegevens (CBP)

In de aangepaste wet worden ook de boetebevoegdheden van het CBP aanzienlijk verruimd. Waar de privacy-toezichthouder nu nog een maximale boete kan opleggen van 4.500 euro, zal met ingang van 1 januari 2016 de maximale boete 810.000 euro of 10 procent van de jaaromzet van de rechtspersoon kunnen bedragen. Dit geldt dus niet alleen voor datalekken, maar ook voor alle schendingen van de privacy regels.

De Wet bescherming persoonsgegevens verplicht een organisatie om “passende technische en organisatorische maatregelen” te treffen om persoonsgegevens mee te beveiligen. Maar wat is nu passend? Omdat dit nooit een zwart-wit afweging kan zijn, en organisatie-afhankelijk is, heeft het CBP zogenaamde richtsnoeren voor beveiliging persoonsgegevens gepubliceerd. Deze richtsnoeren laten zien op welke zaken het CBP let na een incident om vast te stellen of een organisatie “passende” maatregelen getroffen had. Het belangrijkste of meest centrale onderdeel van de richtsnoeren is het inrichten van de “Plan-Do-Check-Act” cyclus. Niet verwonderlijk, want dat staat ook centraal in meer algemene standaarden zoals ISO27001.

Datalek en bewerkersovereenkomst

De Wbp legt aan organisaties die persoonsgegevens door anderen laten verwerken, de verplichting op een zogenaamde bewerkersovereenkomt aan te gaan. Een bewerker is een persoon of organisatie(dienstverlener) aan wie de verantwoordelijke de gegevensverwerking heeft uitbesteed. Bijvoorbeeld een datacenter, call center, administratiekantoor etc.

Het is van belang deze overeenkomsten aan te passen en met de dienstverleners af te stemmen hoe wordt omgegaan met een datalek en de wettelijke meldplicht.

De aangepast wet met meldplicht van datalekken treedt naar verwachting op 1 januari 2016 in.

Vooruitlopen op Algemene Verordening Gegevensbescherming

Met de nieuwe meldplicht loopt Nederland vooruit op de Algemene Verordening Gegevensbescherming (AVG), de nieuwe EU-verordening die in de toekomst in alle lidstaten de nationale persoonsgegevenswetten vervangt (ook de Wbp). De AVG zal eveneens een meldplicht gaan bevatten en de boetebevoegdheden aanzienlijk verruimen. Naar verwachting wordt de AVG in 2016 vastgesteld.

Advies DearBytes

Dit betekent waarschijnlijk nogal wat voor uw organisatie. DearBytes kan u helpen om zo snel en goed mogelijk deze nieuwe verplichtingen onder controle te krijgen. Wij adviseren het volgende:

  • Maak gebruik van de DearBytes Quickscan om te weten waar uw informatiebeveiliging moet verbeteren om het risico op boetes te minimaliseren.
  • De meldplicht datalekken betekent dat u stil moet staan bij welke persoonsgegevens u als organisatie verwerkt of laat verwerken.
  • Weet wat uw risico’s zijn wanneer persoonsgegevens op straat komen te liggen.
  • Beoordeel of een inbreuk moet worden gemeld bij het College bescherming persoonsgegevens (CBP) en de betrokkene.
  • Voorkom privacy incidenten door passende technische en organisatorische maatregelen te nemen, houdt bijvoorbeeld identificerende gegevens zoveel mogelijk gescheiden van zaakgegevens en sla persoonsgegevens niet op als dit niet nodig is!
  • Weet welke handelingen onder de Wet bescherming persoonsgegevens (Wbp) vallen, denk aan; het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, wissen en vernietigen van gegevens

Wilt u ook voldoen aan de meldplicht datalekken of wilt u meer weten over de DearBytes Quickscan? Neemt u dan contact met ons op.