Wat moet u weten over de meldplicht datalekken?

Het belang van data in onze economie wordt steeds groter. Duidelijke regels voor de omgang met persoonsgegevens zijn dan ook essentieel voor het Nederlandse ondernemersklimaat en het vertrouwen in ICT. Met de onlangs door de Eerste Kamer aangenomen meldplicht datalekken neemt de overheid alvast een voorschot op nieuwe Europese privacywetten. Deze wet heeft voor veel ICT-bedrijven gevolgen, maar mist helaas nog de nodige duidelijkheid. Nederland ICT zet daarom de belangrijkste punten over de meldplicht datalekken op een rijtje.

De meldplicht datalekken is een toevoeging aan de Wet Bescherming Persoonsgegevens en bestaat uit twee delen. Ten eerste komt er een 'meldplicht voor inbreuken op beveiligingsmaatregelen'. Dit houdt in dat bedrijven en overheden melding moeten maken van inbreuken op de beveiliging met ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of inbreuken die leiden tot een aanzienlijke kans daarop. De melding moet gedaan worden bij het College bescherming persoonsgegevens (CBP) en aan betrokkenen, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.

Boetes

Daarnaast krijgt het CBP de mogelijkheid partijen die zich niet aan de meldplicht houden boetes op te leggen die oplopen tot €810.000,- of 10 procent van de (wereldwijde) jaaromzet van de rechtspersoon. Bij deze nieuwe bevoegdheden past volgens het kabinet ook een nieuwe naam voor het CBP: de Autoriteit Persoonsgegevens (AP). Naar verwachting treedt de meldplicht datalekken begin januari 2016 in werking.

Het was natuurlijk al belangrijk om de verwerking en beveiliging van persoonsgegevens binnen uw organisatie goed op orde te hebben. Nederland ICT stelt dat deze wet een aanleiding kan zijn daar nog eens kritisch naar te kijken. Veel bedrijven hebben namelijk meer verantwoordelijkheden dan zij denkt. Doordat steeds meer IT-bedrijven hun producten niet meer (alleen) op locatie maar ‘as-a-service’ aanbieden, bevinden IT-bedrijven zich ineens in de juridische rol van de bewerker van persoonsgegevens. Dat betekent dat de verplichtingen uit de Wbp en dus ook de nieuwe wet datalekken ook op hen als bewerker van toepassing zijn geworden. IT-bedrijven zullen dan ook afspraken over melding van datalekken in hun bewerkersovereenkomsten moeten vastleggen.

'Vertrouwen in ICT is cruciaal'

Nederland ICT noemt vertrouwen in ICT cruciaal voor innovatie en de groei van de Nederlandse economie. Het is volgens de branchevereniging voor de ICT-sector dan ook goed dat de overheid met deze nieuwe wet laat zien de bescherming van persoonsgegevens belangrijk te vinden. De huidige wetteksten bieden volgens Nederland ICT echter nog te weinig duidelijkheid en daarmee rechtszekerheid voor het bedrijfsleven. Zo stelt de wet dat de meldplicht inhoudt dat bedrijven en overheden melding moeten maken van inbreuken op de beveiliging met ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of inbreuken die leiden tot een aanzienlijke kans daarop. Wij vinden dat de termen ‘ernstige’ en ‘aanzienlijk’ verduidelijking behoeven. Dit werd ook al door de Eerste Kamer opgemerkt. De komende maanden gaat het CBP werken aan zogenaamde richtsnoeren voor de nieuwe wet. Nederland ICT wil hierover graag met het CBP in gesprek.

Daarnaast neemt deze toevoeging aan de Wbp een voorschot op nieuwe regelgeving op het gebied van privacy. In Europa wordt gewerkt aan de General Data Protection Regulation (de Privacyverordening). De bedoeling van deze verordening is om verouderde privacywetten te moderniseren en binnen Europa eenheid in regels te creëren. De verordening zal dan ook de Nederlandse Wbp gaan vervangen. In de privacyverordening komt ook een algemene meldplicht datalekken. De definitieve tekst van de verordening is echter nog niet vastgesteld. Het risico van de huidige meldplicht is dat Nederland op de muziek vooruit loopt en afwijkende regels opstelt. Dat zou kunnen betekenen dat de spelregels binnen een paar jaar na invoering opnieuw aangepast zullen worden.