Wet gegevensverwerking en meldplicht cybersecurity treedt op 1 oktober in werking

De Wet gegevensverwerking en meldplicht cybersecurity (Wgmc) treedt op 1 oktober 2017 in werking. Een uitzondering hierop is de opgenomen meldplicht en de daarmee samenhangende bepalingen, die naar verwachting op 1 januari 2018 in werking zullen treden.

Het Nationaal Cyber Security Centrum (NCSC) heeft als doel de beschikbaarheid van informatiesystemen van zowel de rijksoverheid als bedrijven die deel uitmaken van de vitale infrastructuur te helpen waarborgen. De Wgmc legt de taken die het NCSC in dit kader uitvoert vast. Het gaat hierbij om de volgende taken:

• bijstand verlenen aan deze doelgroep bij het treffen van maatregelen om de beschikbaarheid en betrouwbaarheid van hun diensten te waarborgen of herstellen;
• de doelgroep en anderen zowel in als buiten Nederland informeren en adviseren over dreigingen en incidenten met betrekking tot informatiesystemen van de doelgroep;
• analyses en technisch onderzoek verrichten ten behoeve van deze taken, naar aanleiding van dreigingen en incidenten of aanwijzingen daarvoor.

Persoonsgegevens verwerken

Daarnaast verstevigt de Wgmc de grondslag van het NCSC om in het kader van de bovengenoemde taken persoonsgegevens en andere gegevens te verwerken. Ook is in de wet de voorwaarden waaronder vertrouwelijke informatie in dit kader met derden mag delen.

In de wet is ook een meldplicht opgenomen voor bedrijven die onderdeel uitmaken van de vitale infrastructuur. Deze bedrijven worden verplicht een ‘inbreuk op de veiligheid of een verlies van integriteit van elektronische informatiesystemen’ te melden. Deze meldplicht treedt naar verwachting pas op 1 januari 2018 in werking, wat vitale aanbieders meer tijd geeft zich op deze meldplicht voor te bereiden.

Meer informatie over de Wgmc is beschikbaar in een factsheet (pdf) die het NCSC heeft gepubliceerd.