Stb. 2015, 230 Meldplicht datalekken

Wet van 04-06-2015, Stb. 2015, 230

Wet tot wijziging van de Wet bescherming persoonsgegevens en enige andere wetten in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens alsmede uitbreiding van de bevoegdheid van het College bescherming persoonsgegevens om bij overtreding van het bepaalde bij of krachtens de Wet bescherming persoonsgegevens een bestuurlijke boete op te leggen (meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp) 

—In deze wet wordt in de eerste plaats een meldplicht geïntroduceerd in de Wet bescherming persoonsgegevens (Wbp) voor verantwoordelijken voor de verwerking van persoonsgegevens in geval van gebleken doorbrekingen van de getroffen maatregelen ter beveiliging van persoonsgegevens. De verantwoordelijke moet op grond van het voorgestelde artikel 34a van de Wbp inbreuken die leiden tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen hebben voor de bescherming van persoonsgegeven melden bij de toezichthouder, het College bescherming persoonsgegevens (Cbp). Een inbreuk met (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens, moet daarnaast ook aan de betrokkene worden gemeld, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer (tweede lid).

De meldplicht rust op alle verantwoordelijken voor de verwerking, zowel in de private als publieke sector. Het nalaten aan deze verplichtingen te voldoen kan worden gesanctioneerd met een bestuurlijke boete, op te leggen door het Cbp. Het doel van de meldplicht is het voorkomen van datalekken ten gevolge van doorbreking van beveiligingsmaatregelen en als deze zich toch voordoen, de gevolgen ervan voor de betrokkenen zoveel mogelijk te beperken. Met de meldplicht wordt beoogd bij te dragen aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens.

De meldplicht heeft uitsluitend betrekking op doorbrekingen van de maatregelen voor de beveiliging van persoonsgegevens. De meldplicht ziet dus niet op situaties als die rond DigiNotar waarin fouten werden gemaakt in de beveiliging van certificaten waardoor deze onbetrouwbaar waren, of op andere meldplichten met een min of meer verwant karakter (cybersecurityincidenten).

De meldplicht voor datalekken staat in nauw verband met de beveiligingsverplichting van artikel 13 van de Wbp. Die bepaling verplicht de verantwoordelijke om passende technische en organisatorische maatregelen ten uitvoer te leggen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Het Cbp heeft op 19 februari 2013 richtsnoeren gepubliceerd voor de beveiliging van persoonsgegevens (Stcrt. 2013, nr. 5174).

Deze richtsnoeren leggen uit hoe het Cbp bij het onderzoeken en beoordelen van beveiliging van persoonsgegevens in individuele gevallen de beveiligingsnormen uit de Wbp toepast. De richtsnoeren vormen de verbindende schakel tussen het juridische domein, met daarbinnen de eisen uit de Wbp, en anderzijds het domein van de informatiebeveiliging, waarin de noodzakelijke kennis en kunde aanwezig is om daadwerkelijk aan die eisen te voldoen.

Naast de meldplicht breidt de wet de bevoegdheid van het Cbp uit om bij overtreding van de normen van de Wet bescherming persoonsgegevens een bestuurlijke boete op te leggen. Met de versterking van de sanctiemogelijkheden van de toezicht- en handhavende autoriteit beoogt het kabinet de naleving van de Wbp, door zowel bedrijven als overheden, te bevorderen. In verband met het algemeen-abstracte karakter van de normen van de Wbp en het lex certa-beginsel, is voorts een bepaling opgenomen die inhoudt dat het Cbp bij een vermoeden van overtreding van deze open normen in de regel niet zonder meer een bestuurlijke boete kan opleggen, maar dat het eerst een bindende aanwijzing moet geven. In de bindende aanwijzing zal de toezichthouder ter concretisering van de wettelijke norm moeten aangeven welke gedraging op grond van de Wbp van de verantwoordelijke wordt verwacht en hem zo mogelijk moeten opdragen om de overtreding geheel of gedeeltelijk te herstellen. Bij amendement is hierop de uitzondering gecreëerd dat het Cbp geen bindende aanwijzing hoeft te geven aan de overtreder alvorens het een bestuurlijke boete kan opleggen waarvoor de hoogste wettelijke, aan artikel 23, vierde en zevende lid, van het Wetboek van Strafrecht ontleende boetemaximumbedragen gelden, indien de overtreding het gevolg is van ernstig verwijtbare nalatigheid, dat wil zeggen het gevolg is van grof, aanzienlijk onzorgvuldig, onachtzaam dan wel onoordeelkundig handelen. 

Tot slot kan het Cbp in het maatschappelijke verkeer een naam gebruiken die meer aansluit bij Europese ontwikkelingen en die tegelijkertijd een einde maakt aan de verwarring met het Centraal Planbureau (CPB). De benaming ‘Autoriteit persoonsgegevens’ maakt aan de verwarring een einde en markeert zowel voor het Cbp als voor de verantwoordelijken waarop het toezicht houdt dat er een fase is ingetreden waarin we toegroeien naar een in Europees verband verdergaand geharmoniseerd systeem van bescherming van persoonsgegevens, aldus de memorie van toelichting.


Inwerkingtreding

Inwerkingtredingsbesluit van 01-07-2015, Stb. 2015, 281

Besluit tot vaststelling van het tijdstip van inwerkingtreding van de Wet van 4 juni 2015 tot wijziging van de Wet bescherming persoonsgegevens en enige andere wetten in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens alsmede uitbreiding van de bevoegdheid van het College bescherming persoonsgegevens om bij overtreding van het bepaalde bij of krachtens de Wet bescherming persoonsgegevens een bestuurlijke boete op te leggen (meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp) (Stb. 2015, 230)

—Deze wet treedt in werking met ingang van 1 januari 2016.


Kamerstukken

Agenda

Afbeelding

Ontmoet vakgenoten en bespreek actuele onderwerpen in de LinkedIn-groep van het Nederlands Juristenblad.

 

 



Lees en doorzoek het NJB online in Navigator

Inloggen

U maakt gebruik van een verouderde browser

Het gebruik van een verouderde browser maakt uw computer onveilig en tevens ongeschikt voor het optimaal raadplegen van deze website.

De website van het NJB - Nederlands Juristenblad is namelijk geoptimaliseerd voor een nieuwere versie van uw browser.
In de meeste gevallen waarin het fout gaat, betreft dit het gebruik van de Internet Explorer browserversie 7 of 8.
Deze website is geoptimaliseerd voor Internet Explorer 9 en hoger, Google Chrome, Safari en Firefox.

Bekijk hier of er een nieuwere versie van uw browser beschikbaar is.