De wetswijziging ‘Meldplicht van datalekken en uitbreiding bestuurlijke boetebevoegdheid College Bescherming Persoonsgegevens (CBP)’ is dinsdag 26 mei door de Eerste Kamer aangenomen.De Tweede Kamer had in februari al met de wet ingestemd.
Een datalek moet voortaan gemeld worden bij het CBP als er sprake is van een inbreuk op de beveiliging, en wanneer deze inbreuk leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Organisaties die te maken krijgen met een datalek, moeten dit niet alleen melden bij het CBP, maar óók bij de betrokkenen, wanneer het lek nadelige gevolgen kan hebben voor de persoonlijke levenssfeer van de betrokkenen.
Dit laatste aspect geldt overigens niet als de organisatie in kwestie passende beveiligingsmaatregelen heeft genomen om kennisname van de gelekte gegevens te voorkomen. Een voorbeeld is het gebruik van encryptie, waardoor de hacker of cybercrimineel die toegang heeft gekregen tot bepaalde gegevens deze niet kan lezen.
Wie een datalek niet meldt, kan van het CBP een boete krijgen. Die boetemogelijkheid was er al, maar tot een maximum van 4.500 euro. Wie nu een overtreding begaat van de Wet bescherming persoonsgegevens (Wbp), riskeert een boete tot 810.000 euro. Voordat de wetswijziging in werking treedt zal het CBP naar verwachting, eerst nog duidelijker richtlijnen opstellen ter invulling van de daadwerkelijke handhaving van de wetswijziging.
