Teeven wil bedrijven alleen verplichten ernstige datalekken te melden

Als het aan staatssecretaris Fred Teeven ligt hoeven bedrijven voortaan alleen ernstige datalekken te melden bij het College bescherming persoonsgegeven (Cbp). Dit zou bedrijven veel tijd en geld besparen, aangezien zij niet langer ieder datalek hoeven te rapporteren.

Teeven stelt dat het huidige wetsvoorstel voor het melden van datalekken tijdrovend en erg duur is voor bedrijven. De staatssecretaris van Veiligheid en Justitie wil daarom bedrijven voortaan alleen verplichte 'ernstige datalekken' te melden.

Gepaste technische beschermingsmaatregelen

"Het huidige zesde lid bepaalt dat de melding aan de betrokkene achterwege kan blijven indien de verantwoordelijke gepaste technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft versleuteld zijn of anderszins onbegrijpelijk zijn gemaakt voor eenieder die geen recht heeft op kennisname van de gegevens. De reden is dat in dat geval ongunstige gevolgen voor de persoonlijke levenssfeer van de getroffen persoon niet waarschijnlijk zijn. Het is bij nadere beschouwing niet logisch dat de uitzondering alleen wordt gemaakt voor de melding aan de betrokkene en niet voor de melding aan het Cbp. Indien persoonsgegevens op passende wijze zijn versleuteld, zullen immers ook geen (ernstige) nadelige gevolgen voor de bescherming van deze gegevens te duchten zijn", schrijft Teeven in de nota over de wijzigingen.

Bedrijven moeten dus zelf gaan bepalen wanneer een datalek ernstig is. Dit brengt risico's met zich mee. Organisaties die een datalek verkeerd beoordelen en hierdoor een datalek ten onrechte niet melden bij het Cbp kunnen een boete van maximaal 450.000 euro opgelegd krijgen.