Forse boetes voor niet-melden datalek

Eind juni is het wetsvoorstel Meldplicht datalekken naar de Tweede Kamer gestuurd. Zowel private als publieke organisaties die persoonsgegevens verwerken, zijn straks verplicht om inbreuken op de beveiliging te melden. Het gaat dan om inbreuken die leiden tot diefstal, verlies of misbruik van persoonsgegevens. Denk bijvoorbeeld aan een gehackte website, een verloren onbeveiligde USB-stick of smartphone, of een verkeerd geadresseerd e-mailbericht. Het niet-melden van een datalek kan een forse boete opleveren.

Het doel van de meldplicht is om te komen tot een betere bescherming van persoonsgegevens. Onder de meldplicht zullen organisaties een administratie bij moeten gaan houden van alle datalekken binnen de organisatie. Heeft het datalek waarschijnlijk nadelige privacygevolgen voor de personen waarvan data gelekt zijn? Dan moet het bovendien gemeld worden aan het College Bescherming Persoonsgegevens (CBP) én aan alle getroffen personen. Ook moet de organisatie het CBP dan laten weten hoe zij de gevolgen gaat verhelpen, waar meer informatie over het datalek kan worden verkregen, en wat zij de getroffen personen aanraadt te doen om de nadelige gevolgen te beperken.

Boetes

Tot nu toe kon het CBP slechts kleine boetes opleggen voor enkele zeer specifieke overtredingen. Dit wordt anders met dit wetsvoorstel. Voert een organisatie straks geen administratie van datalekken, meldt zij een datalek ten onrechte niet bij het CBP of werkt zij niet mee aan een onderzoek van het CBP naar datalekken bij haar organisatie? Dan kan dat haar op een boete van tot maar liefst € 450.000 komen te staan.

Financiële ondernemingen

Het bovenstaande kent een belangrijke en hier zeer relevante uitzondering: financiële ondernemingen in de zin van de Wft zijn niet verplicht betrokkenen in te lichten. Althans, niet op grond van dit wetsvoorstel, maar mogelijk wel vanwege de zorgplicht uit de Wft.

Voorkómen

Het is zaak om niet alleen datalekken te melden, maar vooral om ze te voorkómen. Als het niet is vanwege dit voorstel, dan wel vanwege de uitkomst van het onderzoek van het Ponemon Instituut: een datalek kost een financiële instelling meer dan € 160 per klant waarvan gegevens gelekt worden.

Meer informatie

NIBE-SVV biedt een breed en diep kennisaanbod aan op het gebied van privacy. Hiervoor werken wij samen met het gerenommeerde advies- en trainingsbureau De Privacypraktijk. In de privacytrainingen krijgen deelnemers handvatten om te kunnen voldoen aan de (aankomende) privacyeisen.

Ook bieden we samen met Baltzer Science Publishers het tijdschift Privacy & Compliance aan.