NL EN
  • Home»
  • Weblog »
  • Wetsvoorstel meldplicht datalekken naar Tweede Kamer

Wetsvoorstel meldplicht datalekken naar Tweede Kamer

Vorige week heeft staatssecretaris Teeven van Veiligheid en Justitie het langverwachte wetsvoorstel meldplicht datalekken naar de Tweede Kamer gestuurd. Eerder werd al een “versie 0.1” van het voorstel gepubliceerd, waarover een internetconsultatie heeft plaatsgevonden.

Op grond van dit wetsvoorstel wordt een bepaling (artikel 34a) aan de Wet bescherming persoonsgegevens (Wbp) toegevoegd op grond waarvan zowel private als publieke organisaties die persoonsgegevens verwerken straks verplicht zijn om inbreuken op  hun beveiliging die leiden tot diefstal, verlies of misbruik van persoonsgegevens, te melden bij het College bescherming persoonsgegevens (CBP). Indien een inbreuk ongunstige gevolgen kan hebben voor degene wiens persoonsgegevens zijn gelekt, moet ook deze persoon daarvan op de hoogte worden gesteld. Indien een organisatie niet voldoet aan de meldplicht, kan het CBP een boete opleggen van 450.000 euro. Het doel van de meldplicht is om tot een betere bescherming van persoonsgegevens te komen.

Deze meldplicht in de Wbp wordt ook wel de “brede meldplicht” genoemd. Op grond van artikel 11.3a van de Telecommunicatiewet geldt voor aanbieders van elektronische communicatienetwerken en -diensten reeds een (“smalle”) meldplicht bij diefstal, verlies of misbruik van persoonsgegevens van abonnees of gebruikers. Anders dan deze meldplicht, moet de Wbp-meldplicht zich uitstrekken tot alle diensten van de informatiemaatschappij, de overheid daaronder begrepen.

Opvallend is dat op grond van het voorgestelde artikel 34 Wbp niet ieder datalek gemeld hoeft te worden, maar alleen iedere inbreuk op de maatregelen die (op grond van artikel 13 Wbp) genomen zijn om persoonsgegevens te beveiligen. Dat volgt letterlijk uit de tekst van het wetsvoorstel en ook de toelichting op het wetsvoorstel benadrukt dit nog eens: “De meldplicht die in dit wetsvoorstel is opgenomen heeft uitsluitend betrekking op doorbrekingen van de maatregelen voor de beveiliging van persoonsgegevens. De meldplicht ziet dus niet op situaties als die rond DigiNotar waarin fouten werden gemaakt in de beveiliging van certificaten waardoor deze onbetrouwbaar waren, of op andere meldplichten met een min of meer verwant karakter (cybersecurity-incidenten).”

Dit was één van de punten waarop destijds veel kritiek is geuit tijdens de internetconsultatie. Een aantal partijen, waaronder Bits of Freedom, is van mening dat elk datalek zou moeten worden gemeld, ook in geval van afwezigheid van beveiligingsmaatregelen als bedoeld in artikel 13 Wbp.

Opvallend is verder dat het wetsvoorstel – ondanks het een uitdrukkelijke advies van het CBP – niet aansluit bij de bewoordingen van de meldplicht in de voorgestelde Algemene Verordening Gegevensverwerking. De artikelen 31 en 32 daarvan bevatten een algemene regeling voor een meldplicht van datalekken aan de toezichthouder respectievelijk de betrokkene. Om die reden had het CBP geadviseerd om het Nederlandse wetsvoorstel volledig toe te snijden op de ontwerpverordening. Dat is echter niet gebeurd, volgens de regering omdat de regeling van de meldplicht in de ontwerpverordening in dit stadium nog te veel aanleiding geeft tot vragen over de reikwijdte van de daarin opgenomen verplichtingen en de invulling van de daarbij in acht te nemen voorwaarden. De ontwerpverordening zou nog te prematuur zijn om ervan uit te gaan dat de Europese wetgever met een redelijke mate van zekerheid regeling overeenkomstig het voorstel zal vaststellen.

Lees hier het wetsvoorstel en de Memorie van Toelichting.

BRON: Rijksoverheid.nl


PAGINA DOORSTUREN

DEZE PAGINA IS SUCCESVOL DOORGESTUURD!

REACTIE (1)

hh maandag 12 augustus 2013 22:14

Hnn

EEN REACTIE PLAATSEN

UW E-MAIL ADRES WORDT NIET GETOOND AAN ANDERE BEZOEKERS.

  1. NAAM
  2. E-MAILADRES
  3. BERICHT
  4. WANNEER U DEZE REGEL KUNT LEZEN, VUL HET VOLGENDE VELD DAN NIET IN!
  5.