Belangrijke wijzigingen Wet bescherming persoonsgegevens

Op 19 juni 2015 is in het Staatsblad de 'Meldplicht datalekken en de uitbreiding van de bestuurlijke boetebevoegdheden van het College bescherming persoonsgegevens (Cbp)' gepubliceerd. Dit betreft een wijziging op de Wet bescherming persoonsgegevens en treedt in werking op 1 januari 2016. Onderstaand zullen we enkele zaken uit deze wetswijziging nader toelichten.

Met deze wet wordt een meldplicht voor datalekken geregeld. Iedere verantwoordelijke moet een datalek, waarbij de kans bestaat dat er persoonsgegevens verloren gaan of onrechtmatig worden verwerkt, melden aan het Cbp en de betrokkene(n). De meldplicht geldt voor alle verantwoordelijken in de private en publieke sector. Als een datalek niet gemeld wordt, kan het Cbp een bestuurlijke boete opleggen.

Wat is een datalek?
We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een gestolen geprinte klantenlijst evengoed een datalek vormen

Melden?
U moet een melding van een datalek maken bij het Cbp als er voldaan wordt aan de volgende voorwaarden:

  • Er is sprake van een inbreuk op de beveiliging van persoonsgegevens. Opvallend is dat uitsluitend lekken ten gevolge van inbreuken op de beveiliging moeten worden gemeld, ook als de beveiliging summier is.
  • De inbreuk doet zich voor bij een organisatie in de publieke of private sector. Denk hierbij aan bedrijven, banken, verzekeringsmaatschappijen, belastingdienst, UWV enz.
  • De inbreuk leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van de persoonsgegevens die door de organisatie worden verwerkt. Met andere woorden: de inbreuk leidt tot diefstal, verlies of misbruik van persoonsgegevens.

Wanneer is er sprake van een inbreuk op de beveiliging?
Een inbreuk op de beveiliging hoeft niet te betekenen dat de beveiliging is tekortgeschoten. Denkbaar is dat de beveiliging op zich van voldoende niveau is, maar dat de beveiligingsmaatregelen worden omzeild. In de toelichting bij het wetsvoorstel worden als voorbeeld genoemd: een hack van een ICT-systeem dat persoonsgegevens bevat en de diefstal van een laptop of mobiele telefoon uit een afgesloten kluisje.

Daarnaast kan de inbreuk op de beveiliging het gevolg zijn van een tekortschietende beveiliging. Dat is bijvoorbeeld het geval als bepaalde bestanden niet goed beveiligd zijn geweest of als er menselijke fouten zijn gemaakt. Als voorbeelden in de toelichting worden genoemd: het slordig omgaan met wachtwoorden, papieren dossiers die als oud papier worden aangeboden, het kwijtraken van een USB-stick.

Op de hierboven genoemde situaties is de meldplicht van toepassing.

Betrokkenen inlichten?
Als het waarschijnlijk is dat het lek ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokken personen, dienen ook zij een melding te ontvangen. Vaak zullen betrokkenen naar aanleiding van het lek direct actie moeten ondernemen, bijvoorbeeld als het gaat om loginnaam en wachtwoord die veranderd moeten worden of een rekening die geblokkeerd moet worden.

Er zijn uitzonderingen op de plicht om aan de betrokken personen te melden. Ondernemingen die onder de Wet financieel toezicht vallen, vallen onder deze uitzondering en hoeven betrokken personen, uw klanten bijvoorbeeld, dus niet in te lichten. Maar een datalek kan onder bepaalde omstandigheden wel kwalificeren als incident en dan moet dit ook gemeld worden aan de AFM.

Uitbreiding boetebevoegdheid Cbp
Verder regelt de wet tevens de uitbreiding van de boetebevoegdheid van het Cbp. Het Cbp mag op dit moment alleen een boete opleggen bij overtreding van een administratief voorschrift, bijvoorbeeld de verplichting om de verwerking van persoonsgegevens te melden. Straks kan dat ook bij schending van meer algemene verplichtingen die de wet stelt aan gebruik en verwerking van persoonsgegevens. Bijvoorbeeld als persoonsgegevens niet op een behoorlijke en zorgvuldige manier zijn verwerkt of langer worden bewaard dan noodzakelijk is, maar ook bijvoorbeeld als de beveiliging van de gegevens niet op orde is. Het bedrag kan hierbij oplopen tot maximaal € 810.000,- of 10% van de omzet van een organisatie.

Naamswijziging Cbp
Als laatste zal met inwerkingtreding van deze wetswijziging tevens de naam van het Cbp worden veranderd in Autoriteit Persoonsgegevens. De naamgeving ligt daarmee meer in lijn met die van gelijksoortige instanties als de Autoriteit Consument & Markt en de Autoriteit Financiële Markten.

Doelstelling van deze wetswijziging is dat ondernemingen in dit digitale tijdperk (nog) bewuster omgaan met persoonsgegevens en deze informatie (nog) beter beveiligen om schade voor betrokkenen te voorkomen en om zelf niet negatief in het nieuws te komen door een datalek.

Heeft u nog vragen over deze wetswijziging en de impact hiervan op uw onderneming? Neem dan contact op met ons kantoor op telefoonnummer 0492-344988 of via het contactformulier.

Nieuwsoverzicht

Deel dit bericht

Contactgegevens 

| Ophrys | De Loo 81 | 5731 MP Mierlo | 0492 344 988 | info@ophrys.nl