28 mei 2015 | Aanvulling Wbp met meldplicht datalekken klaar voor inwerkingtreding

De Eerste Kamer heeft het wetsvoorstel voor uitbreiding van de Wet bescherming persoonsgegevens met een meldplicht voor datalekken en uitgebreidere bestuurlijke boetebevoegdheid van het Cbp aangenomen. De laatste stap is dat de wet gepubliceerd wordt en op een nader te bepalen moment in werking treedt. Onzeker is nog wanneer dat zal zijn.

Het wetsvoorstel bevat feitelijk twee onderwerpen: een meldplicht voor datalekken en een uitbreiding van de bestuurlijke boetebevoegdheid van het College bescherming persoonsgegevens. Zie voor dit laatste onderwerp dit eerdere nieuwsbericht.
Het gedeelte dat over een meldplicht voor datalekken gaat, staat ook wel bekend als de Wet Meldplicht Datalekken. De nieuwe meldplicht houdt in dat een verantwoordelijke aan het Cbp (of indien aangesteld: aan de Functionaris Gegevensbescherming) moet melden als er een datalek plaatsvindt waarbij er kans is op ernstige nadelige gevolgen voor bescherming van persoonsgegevens. Hierbij kun je denken aan verlies of onrechtmatige verwerking van persoonsgegevens. Bovendien moet de verantwoordelijke (of de Functionaris Gegevensbescherming) de betrokkene informeren indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Indien aan deze meldplichten niet wordt voldaan kan het Cbp zometeen boetes opleggen tot € 810.000. Het Cbp moet de overtreder dan wel eerst de gelegenheid geven alsnog aan de wet te voldoen.

Overigens komt momenteel ook de nieuwe Europese Privacy Verordening (General Data Protection Regulation) steeds dichter bij definitieve vaststelling. Deze Verordening, die óók een meldplicht voor datalekken bevat, zal uiteindelijk de Wbp gaan vervangen. Een Europese verordening heeft rechtstreekse werking in alle lidstaten van de EU en voor burgers dus de de status van een wet. De Verordening heeft een implementatietermijn van twee jaar. De Wbp zou dan ook nog tot 2018 mogen blijven bestaan.

Bron: Eerste Kamer