Op 26 mei jl. heeft de Eerste Kamer het wetsvoorstel “meldplicht datalekken en uitbreiding bestuurlijke bevoegdheid” aangenomen. Dit wetsvoorstel is een aanvulling op de huidige Wet Bescherming Persoonsgegevens (Wbp). Het voegt een meldplicht voor inbreuken op beveiligingsmaatregelen voor persoonsgegevens toe.
Met de meldplicht datalekken wil de regering de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken en hiermee een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens.
Het voorstel houdt in dat de verantwoordelijke persoon bij een datalek, waarbij kans is op verlies of onrechtmatige verwerking van persoonsgegevens, niet alleen een melding moet doen bij de toezichthouder, het College bescherming persoonsgegevens (Cbp), maar ook de betrokkene moet informeren. Deze meldplicht geldt voor alle verantwoordelijken voor de verwerking van persoonsgegevens, zowel in de private als de publieke sector. Als geen melding wordt gemaakt van een datalek kan dit bestraft worden met een bestuurlijke boete opgelegd door het Cbp.
Met het voorstel wordt ook geregeld dat het Cbp ruimere handhavingsbevoegdheden gaat krijgen. Op basis van de huidige Wbp kan het Cbp (naast het opleggen van een geringe boete in geval van het niet melden van gegevensverwerking) louter handhaven door een last onder dwangsom op te leggen. Met het wetsvoorstel krijgt Cbp ruimere bevoegdheden en is zij gerechtigd forse bestuurlijke boetes op te leggen in geval van overtreding van de Wbp. Het Cbp kan in beginsel slechts een boete opleggen na het geven van een “bindende aanwijzing”. Een boete kan echter direct en zonder bindende aanwijzing worden opgelegd indien sprake is van opzettelijk handelen of ernstige verwijtbaarheid.
De exacte datum van inwerkingtreding wordt vastgesteld bij Koninklijk Besluit. Naar verwachting zal het wetsvoorstel per 1 januari 2016 in werking treden.
Lees meer over het wetsvoorstel.