06

okt

Meldplicht datalekken

in E-commerce

 

Op 10 juli 2015 is er een persbericht uitgegaan, waarin bekend is gemaakt dat er een meldplicht komt voor bedrijven (privaat en publiek) om inbreuken op de beveiliging van IT systemen te melden. Het gaat hier om inbreuken die leiden tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die worden verwerkt.

Uitbreiding boetebevoegdheid CBP

Naast deze wijziging van de Wet bescherming persoonsgegevens (Wbp), komt er ook een uitbreiding van de boetebevoegdheid van het College bescherming persoonsgegevens (CBP, dat overigens per 1 januari 2016 de Autoriteit bescherming persoonsgegevens zal gaan heten).  Het CBP kan vanaf de inwerkingtreding van de wetswijziging boetes gaan opleggen voor schendingen van wettelijke plichten die gelden voor het verwerken van persoonsgegevens. Voorheen gold deze boetebevoegdheid slechts voor administratieve verplichtingen, zoals het niet melden van verwerkingen. Vanaf 1 januari zal dit dus ook voor meer algemene schendingen van de Wbp gaan gelden.  Denk hierbij bijvoorbeeld aan een onzorgvuldige verwerking, ondeugdelijke beveiliging, slecht beheer van persoonsgegevens of misbruik van gevoelige informatie. Bovendien is de maximaal op te leggen boete verhoogd van 4.500 naar maar liefst 810.000 euro.

Voordat er echter daadwerkelijk een boete wordt opgelegd, zal het CBP wel eerst een bindende aanwijzing moeten geven, waarin een termijn wordt gesteld om alsnog conform de wet te handelen. Deze aanwijzing en termijn wordt echter niet gegeven indien de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid. 

Boetes voor bewerkers

Verder is van belang te weten dat het CBP, naast aan de verantwoordelijken, onder bepaalde omstandigheden ook boetes kan gaan opleggen aan bewerkers. Dit zijn partijen, zoals bijvoorbeeld ICT leveranciers, die via hun opdrachtgever betrokken worden bij de verwerking van persoonsgegevens. Ook zij dienen zich dus goed bewust te zijn van de verplichtingen die gelden op grond van de Wbp.

Richtsnoeren omgang datalekken

Onlangs heeft het CBP een consultatieversie van richtsnoeren gepubliceerd, waarin het aangeeft hoe zij in de praktijk wenst om te gaan met datalekken. Belanghebbenden, waaronder ook ICT leveranciers, kunnen nog tot 19 oktober 2015 aan het CBP laten weten wat zij van deze richtsnoeren vinden.