Wetsvoorstel ‘Meldplicht Datalekken’ aangenomen in de Tweede Kamer

Op dinsdag 10 februari jl. is het wetsvoorstel inzake het melden van datalekken aangenomen door de Tweede Kamer. Dit wetsvoorstel voegt aan de Wet bescherming persoonsgegevens (Wbp) een meldplicht voor inbreuken op beveiligingsmaatregelen voor persoonsgegevens toe. Met de Meldplicht Datalekken wil de regering de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken en hiermee een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens. Het wetsvoorstel moet nu nog door de Eerste Kamer.

Bestuurlijke boete

De meldplicht houdt in dat bedrijven en overheden melding moeten maken van inbreuken op de beveiliging met ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of inbreuken die leiden tot een aanzienlijke kans daarop. De melding moet gedaan worden bij het College Bescherming Persoonsgegevens (CBP) en aan betrokkene(n). Dit ingeval de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Als er geen melding wordt gemaakt van een datalek kan dit bestraft worden met een bestuurlijk boete van het CBP oplopend tot € 810.000,- of 10% van de jaaromzet van de rechtspersoon.

Invloed gemeenten

De Meldplicht Datalekken heeft zeker ook impact op gemeenten. Zo heeft het CBP onlangs privacy binnen het gemeentelijk domein voor 2015 als een van de vijf aandachtspunten benoemd. Het CBP gaat onder andere onderzoek doen naar de beveiliging van persoonsgegevens en er worden maatregelen getroffen om de meldingen op een efficiënte en effectieve manier te verwerken.

Relatie met BIG

In veel gevallen zijn de basismaatregelen in de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) passend, tenzij er bijzondere persoonsgegevens worden verwerkt. De IBD raadt gemeenten dan ook aan om vooruitlopend op deze wet na te gaan welke mogelijke risico’s zij lopen en na te denken over de privacy en passende informatiebeveiliging. Een manier om dit te kunnen aantonen is dat een baselinetoets wordt uitgevoerd, eventueel gevolgd door een risicoanalyse, een Privacy Impact Assessment (PIA) en implementatie van de maatregelen. De IBD beveelt gemeenten die nog niet met de implementatie van de BIG zijn begonnen, aan om hiermee nu toch start te maken. Hiermee wordt de informatiebeveiliging van de gemeente geoptimaliseerd en verkleint u de risico’s.

Meer informatie?

Extra achtergrondinformatie over de Meldplicht Datalekken vindt u ook in onze nieuwe factsheet ‘Meldplicht Datalekken’. Deze is gratis te downloaden op de website van de IBD. Mocht u vragen hebben over informatiebeveiliging dan helpen wij u graag. Neem contact op met de IBD via 070 373 8011 of stuur een e-mail naar info@IBDgemeenten.nl.