Wat moet u weten over de meldplicht datalekken?

Het belang van data in onze economie wordt steeds groter. Duidelijke regels voor de omgang met persoonsgegevens zijn dan ook essentieel voor het Nederlandse ondernemersklimaat en het vertrouwen in ICT. Met de onlangs door de Eerste Kamer aangenomen meldplicht datalekken neemt de overheid alvast een voorschot op nieuwe Europese privacywetten. Deze wet heeft voor veel ICT-bedrijven gevolgen, maar mist helaas nog de nodige duidelijkheid. Nederland ICT zet daarom de belangrijkste punten over de meldplicht datalekken op een rijtje.

De meldplicht datalekken is een toevoeging aan de Wet Bescherming Persoonsgegevens en bestaat uit twee delen. Ten eerste komt er een 'meldplicht voor inbreuken op beveiligingsmaatregelen'. Dit houdt in dat bedrijven en overheden melding moeten maken van inbreuken op de beveiliging met ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of inbreuken die leiden tot een aanzienlijke kans daarop. De melding moet gedaan worden bij het College bescherming persoonsgegevens (CBP) en aan betrokkenen, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.

Boetes

Daarnaast krijgt het CBP de mogelijkheid partijen die zich niet aan de meldplicht houden boetes op te leggen die oplopen tot €810.000,- of 10 procent van de (wereldwijde) jaaromzet van de rechtspersoon. Bij deze nieuwe bevoegdheden past volgens het kabinet ook een nieuwe naam voor het CBP: de Autoriteit Persoonsgegevens (AP). Naar verwachting treedt de meldplicht datalekken begin januari 2016 in werking.

Het was natuurlijk al belangrijk om de verwerking en beveiliging van persoonsgegevens binnen uw organisatie goed op orde te hebben. Nederland ICT stelt dat deze wet een aanleiding kan zijn daar nog eens kritisch naar te kijken. Veel bedrijven hebben namelijk meer verantwoordelijkheden dan zij denkt. Doordat steeds meer IT-bedrijven hun producten niet meer (alleen) op locatie maar ‘as-a-service’ aanbieden, bevinden IT-bedrijven zich ineens in de juridische rol van de bewerker van persoonsgegevens. Dat betekent dat de verplichtingen uit de Wbp en dus ook de nieuwe wet datalekken ook op hen als bewerker van toepassing zijn geworden. IT-bedrijven zullen dan ook afspraken over melding van datalekken in hun bewerkersovereenkomsten moeten vastleggen.

'Vertrouwen in ICT is cruciaal'

Nederland ICT noemt vertrouwen in ICT cruciaal voor innovatie en de groei van de Nederlandse economie. Het is volgens de branchevereniging voor de ICT-sector dan ook goed dat de overheid met deze nieuwe wet laat zien de bescherming van persoonsgegevens belangrijk te vinden. De huidige wetteksten bieden volgens Nederland ICT echter nog te weinig duidelijkheid en daarmee rechtszekerheid voor het bedrijfsleven. Zo stelt de wet dat de meldplicht inhoudt dat bedrijven en overheden melding moeten maken van inbreuken op de beveiliging met ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of inbreuken die leiden tot een aanzienlijke kans daarop. Wij vinden dat de termen ‘ernstige’ en ‘aanzienlijk’ verduidelijking behoeven. Dit werd ook al door de Eerste Kamer opgemerkt. De komende maanden gaat het CBP werken aan zogenaamde richtsnoeren voor de nieuwe wet. Nederland ICT wil hierover graag met het CBP in gesprek.

Daarnaast neemt deze toevoeging aan de Wbp een voorschot op nieuwe regelgeving op het gebied van privacy. In Europa wordt gewerkt aan de General Data Protection Regulation (de Privacyverordening). De bedoeling van deze verordening is om verouderde privacywetten te moderniseren en binnen Europa eenheid in regels te creëren. De verordening zal dan ook de Nederlandse Wbp gaan vervangen. In de privacyverordening komt ook een algemene meldplicht datalekken. De definitieve tekst van de verordening is echter nog niet vastgesteld. Het risico van de huidige meldplicht is dat Nederland op de muziek vooruit loopt en afwijkende regels opstelt. Dat zou kunnen betekenen dat de spelregels binnen een paar jaar na invoering opnieuw aangepast zullen worden.

Meer over
Lees ook
Proofpoint:  menselijke factor en GenAI grootste overweging voor databescherming

Proofpoint: menselijke factor en GenAI grootste overweging voor databescherming

De jaarlijkse Europese Data Privacy Dag, wat plaatsvindt op 28 januari, herinnert iedereen aan hoe cruciaal databescherming en –privacy blijven. Dit is ongeacht hoever het technologie- en cybersecuritylandschap ontwikkeld is. De menselijke factor is en blijft een van de belangrijkste punten van kwetsbaarheid op het gebied van dataverlies bij organ1

Black Friday: een gewaarschuwd mens telt voor twee

Black Friday: een gewaarschuwd mens telt voor twee

De Black Friday shopgekte is weer van start. Dit is voor veel mensen de aftrap van het winkelseizoen voor de feestdagen. Consumentenorganisaties waarschuwen voor webshops, zoals Temu, in verband met mogelijke privacy schendingen.

Proofpoint 2023 Voice of the CISO-rapport: Personeelsverloop verergert dataverlies

Proofpoint 2023 Voice of the CISO-rapport: Personeelsverloop verergert dataverlies

Proofpoint, een toonaangevend cybersecurity- en compliance-bedrijf, publiceert zijn jaarlijkse Voice of the CISO-rapport, waarin de belangrijkste uitdagingen, verwachtingen en prioriteiten van Chief Information Security Officers (CISO's) zijn onderzocht. 58% van de Nederlandse CISO's verwacht in de komende 12 maanden een cyberaanval op hun bedrijf.