Wat u moet weten over de meldplicht datalekken

Het belang van data in onze economie wordt steeds groter. Duidelijke regels voor de omgang met persoonsgegevens zijn dan ook essentieel voor het Nederlandse ondernemersklimaat en het vertrouwen in ICT. Met de onlangs door de Eerste Kamer aangenomen meldplicht datalekken neemt de overheid alvast een voorschot op nieuwe Europese privacywetten. Deze wet heeft voor veel ICT-bedrijven gevolgen, maar mist helaas nog de nodige duidelijkheid.

Wat houdt de wet in?
De meldplicht datalekken is een toevoeging aan de Wet Bescherming Persoonsgegevens en bestaat uit twee delen. Ten eerste komt er een 'meldplicht voor inbreuken op beveiligingsmaatregelen'. Dit houdt in dat bedrijven en overheden melding moeten maken van inbreuken op de beveiliging met ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of inbreuken die leiden tot een aanzienlijke kans daarop. De melding moet gedaan worden bij het College bescherming persoonsgegevens (Cbp) en aan betrokkenen, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.

Daarnaast krijgt het (Cbp) een aanzienlijk uitgebreide bestuurlijke boetebevoegdheid oplopend tot €810.000,- of 10 procent van de (wereldwijde) jaaromzet van de rechtspersoon. Wanneer bedrijven of overheden zich niet aan de meldplicht houden kan het Cbp een boete van €810.000 euro uitdelen. Bij deze nieuwe bevoegdheden past volgens het kabinet ook een nieuwe naam voor het Cbp: de Autoriteit Persoonsgegevens (AP).

We verwachten dat de wet begin januari 2016 in werking treedt.

Wat betekent dit voor bedrijven?
Het was natuurlijk al belangrijk om de verwerking en beveiliging van persoonsgegevens binnen uw organisatie goed op orde te hebben. Deze wet is misschien een aanleiding om daar nog eens kritisch naar te kijken. Zeker omdat u misschien meer verantwoordelijkheden heeft dan u denkt. Doordat steeds meer IT-bedrijven hun producten niet meer (alleen) op locatie maar ‘as-a-service’ aanbieden, bevinden IT-bedrijven zich ineens in de juridische rol van de bewerker van persoonsgegevens. Dat betekent dat de verplichtingen uit de Wbp en dus ook de nieuwe wet datalekken ook op hen als bewerker van toepassing zijn geworden. IT-bedrijven zullen dan ook afspraken over melding van datalekken in hun bewerkersovereenkomsten moeten vastleggen.

Wat vindt Nederland ICT?
Vertrouwen in ICT is cruciaal voor innovatie en de groei van de Nederlandse economie. Het is daarom goed dat de overheid met deze nieuwe wet laat zien de bescherming van persoonsgegevens belangrijk te vinden. De huidige wetteksten bieden echter nog te weinig duidelijkheid en daarmee rechtszekerheid voor het bedrijfsleven. Zo stelt de wet dat de meldplicht inhoudt dat bedrijven en overheden melding moeten maken van inbreuken op de beveiliging met ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of inbreuken die leiden tot een aanzienlijke kans daarop. Wij vinden dat de termen ‘ernstige’ en ‘aanzienlijk’ verduidelijking behoeven. Dit werd ook al door de Eerste Kamer opgemerkt. De komende maanden gaat het Cbp werken aan zogenaamde richtsnoeren voor de nieuwe wet. Nederland ICT wil hierover graag met het Cbp in gesprek.

Daarnaast neemt deze toevoeging aan de Wbp een voorschot op nieuwe regelgeving op het gebied van privacy. In Europa wordt gewerkt aan de General Data Protection Regulation (de Privacyverordening). De bedoeling van deze verordening is om verouderde privacywetten te moderniseren en binnen Europa eenheid in regels te creëren. De verordening zal dan ook onze Wbp gaan vervangen. In de privacyverordening komt ook een algemene meldplicht datalekken. De definitieve tekst van de verordening is echter nog niet vastgesteld. Het risico van de huidige meldplicht is dat Nederland op de muziek vooruit loopt en afwijkende regels opstelt. Dat zou kunnen betekenen dat de spelregels binnen een paar jaar na invoering opnieuw aangepast zullen worden.

Nederland ICT houdt de ontwikkelingen rond de privacyverordening nauwlettend in de gaten en werkt hierbij samen met zustervereniging Digital Europe.