Overzicht Actueel

Kamer stemt voor brede meldplicht datalekken

De Tweede Kamer heeft met algemene stemmen een voorstel tot een Meldplicht Datalekken aangenomen. Organisaties moeten straks incidenten van diefstal, verlies of een hack melden bij de toezichthouder voor zover de privacy van mensen risico loopt. Of dit zo is, moeten organisaties zelf inschatten. DDMA pleit voor meer handvatten aan de hand waarvan bedrijven deze inschatting kunnen maken. Te meer nu het College bescherming persoonsgegevens (Cbp) een boete tot € 810.000,00 kan opleggen.

Ernstige lekken melden bij toezichthouder

Het wetsvoorstel introduceert een brede meldplicht voor zowel bedrijven als de overheid. Indien sprake is van diefstal, verlies of misbruik van persoonsgegevens en er ernstige nadelige gevolgen kunnen zijn voor de privacy, moet dit gemeld moet worden aan het Cbp.

Wanneer sprake is van ‘ernstige gevolgen’ moet nog nader worden ingevuld door het Cbp. Hierbij kijken zij in ieder geval naar de grote van het lek en de aard van de gegevens die gelekt zijn. DDMA is voorstander van een benadering die rekening houdt met de ernst van een lek. DDMA voorzitter Henry Meijdam licht toe: “Anders krijg je straks weer het effect van de cookie-melding. Het zijn er zoveel, dat iedere attentiewaarde verloren gaat”. DDMA wil dat de sector inspraak krijgt bij het formuleren van criteria aan de hand waarvan de ernst van een lek wordt beoordeeld: “Organisaties moeten hiermee aan de slag, zij verdienen duidelijkheid.”, aldus Meijdam.

Instructie datalekken voor medewerkers

Als een lek waarschijnlijk ongunstige gevolgen heeft voor de privacy van de personen in het bestand, moeten ook zij in kennis worden gesteld. Meijdam: “Dit is een logische toevoeging, niet in het minst omdat burgers voor veel applicaties dezelfde wachtwoorden gebruiken. Voor een organisatie betekent dit dat zij een instructie datalekken moeten opstellen voor medewerkers. Aan wie rapporteer je eerstelijns in de organisatie, wanneer ga je naar de toezichthouders en hoe communiceer je met je klanten?”.

Alleen als gegevens zo zijn beschermd dat er geen risico voor de privacy bestaat, hoeven bedrijven hun relaties niet op de hoogte te stellen. Denk bijvoorbeeld aan versleutelde gegevens die voor (onbevoegde) derden onbegrijpelijk zijn of een remote wipe op een smartphone die daardoor ontoegankelijk is.

Protocolplicht

Naast een meldplicht introduceert het wetsvoorstel een protocolplicht. De protocolplicht houdt in dat organisaties een overzicht moeten bijhouden “van iedere inbreuk die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”. Simpel gezegd: bedrijven moeten een overzicht bijhouden van alle lekken, waarvan zij hebben geconcludeerd dat deze gemeld moeten worden aan de toezichthouder.

€810.000 boete

Een organisatie moet zelf de afweging maken of een datalek gemeld moet worden. Als blijkt dat er sprake is van nalatigheid of voorwaardelijke opzet – een ingewikkelde juridische term om aan te duiden dat je had kunnen weten dat dit een gevolg was van je handelen – kan het Cbp meteen een boete opleggen. Die boete kan oplopen tot €810.000 of 10% van de jaaromzet van een bedrijf. Als dat niet het geval is, moet zij eerst een zgn. “bindende aanwijzing” doen. Dat betekent: aangeven wat een organisatie moet verbeteren en binnen welke termijn.

DDMA is groot voorstander van de bindende aanwijzing. Meijdam: “Als een lek een gevolg is van onwetendheid, geen onwil, hebben bedrijven meer aan een helpende hand. Die kan de toezichthouder dan geven in de vorm van een bindende aanwijzing. Daarnaast draagt het ook bij aan de effectiviteit van een meldplicht. Als iedere overtreding meteen beboet wordt, denk je als organisatie wel twee keer na voor je meewerkt aan je eigen vervolging”.

Voortgang

De wetswijziging moet nog worden goedgekeurd door de Eerste Kamer. Daarna zal de wet na publicatie in het Staatsblad in werking treden.