Wetswijziging Meldplicht datalekken & uitbreiding boetebevoegdheid CBP aangenomen door Eerste Kamer

Terug naar articles

26 mei, 2015

Abstract identity theft, money outflow, fraud theft protection, phishing, leakage information, economic crisis poster, financial bankruptcy flat icon modern design, vector illustration isolated

Vandaag heeft de Eerste Kamer de wetswijziging Meldplicht datalekken en de uitbreiding van de boetebevoegdheid voor het College Bescherming Persoonsgegevens (CBP) aangenomen. De wetswijziging wijzigt de Wet bescherming persoonsgegevens op een aantal punten. Zo ontstaat er een Meldplicht datalekken voor verantwoordelijken en wordt de boetebevoegdheid van het College Bescherming Persoonsgegevens (tegenwoordig Autoriteit Persoonsgegevens of de AP) aanzienlijk uitgebreid. Hieronder wordt uitgebreider ingegaan op de wijzigingen en de mogelijke gevolgen voor uw organisatie.

Meldplicht Datalekken
Ten eerste creëert de wetswijziging een meldplicht voor organisaties ingeval van datalekken, dit wordt de ‘Meldplicht Datalekken’ genoemd. De meldplicht verplicht bedrijven om het CBP  in te lichten als sprake is van een inbreuk op de beveiliging die leidt tot ‘aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens’. In sommige gevallen dient de getroffen organisatie niet alleen het CBP in te lichten. Als de inbreuk op de beveiliging ‘waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer’ van de betrokkene, dient ook de klant te worden ingelicht door de organisatie.

Uitbreiding boetebevoegdheid College Bescherming Persoonsgegevens (CBP)
Het tweede element van de wijziging van de Wet bescherming persoonsgegevens is de uitbreiding van de boetebevoegdheid door het CBP. De huidige bevoegdheid is €4500,-. In de toekomst kan het CBP voor lichtere overtredingen een boete van maximaal €20.250 opleggen. Voor zwaardere overtredingen kan het CBP een boete tot maar liefst €810.000 opleggen. Voordat het CBP een boete oplegt aan een organisatie wordt een zogenaamde ‘bindende aanwijzing’ gegeven. Dit houdt in dat een organisatie die de wet overtreedt een periode krijgt om wijzigingen door te voeren om in lijn met wet- en regelgeving te handelen alvorens het CBP definitief een boete oplegt.

Naamswijziging
Met het aannemen van de wetswijziging wordt de naam van het ‘College Bescherming Persoonsgegevens’ gewijzigd in ‘Autoriteit Persoonsgegevens’. De naamswijziging beoogt beter aan te sluiten bij de aanstaande Verordening Dataprotectie. De nieuwe naam legt tevens meer accent op persoonsgegevens, de kortere naam heeft als doel aan de sluiten bij de andere toezichthoudende autoriteiten, zoals de Autoriteit Consument & Markt.

Alvorens de wetswijziging in werking treedt, stelt het CBP richtsnoeren op die nadere duiding geven over de handhaving. Naar verwachting zal de wetswijziging inwerking treden op 1 januari 2016.

Wilt u meer weten over de gevolgen van de wetswijziging voor uw organisatie? Neem vrijblijvend contact op met de privacy experts van Considerati.

,

Gerelateerde blogs

Kabinet presenteert visie op e-privacy

Op 24 mei jl. presenteerde Minister Kamp van Economische Zaken (EZ) zijn totaal visie op privacy...

Lees meer

Cbp publiceert definitieve beleidsregels meldplicht datalekken

Het Cbp heeft de definitieve beleidsregels voor de meldplicht datalekken gepubliceerd. Vanaf 1...

Lees meer

Op de hoogte blijven?

Schrijf je dan in voor onze nieuwsbrief. Zie ons privacy statement.