Dit wetsvoorstel voegt aan de Algemene Verordening Gegevensbescherming (Europese regelgeving) een meldplicht voor inbreuken op beveiligingsmaatregelen voor persoonsgegevens toe. Met de meldplicht datalekken wil de regering de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken en een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens.
Met dit voorstel moet de verantwoordelijke bij een datalek, waarbij kans is op verlies of onrechtmatige verwerking van persoonsgegevens, niet alleen een melding doen bij de toezichthouder, het College bescherming persoonsgegevens (Cbp), maar ook de betrokkenen informeren. Deze meldplicht geldt voor alle verantwoordelijken voor de verwerking van persoonsgegevens, zowel in de private als publieke sector. Als er geen melding wordt gemaakt van een datalek kan dit bestraft worden met een bestuurlijk boete van het Cbp.
Zekere voor het onzekere nemen? Vraag vrijblijvend een offerte aan
Wat betekent de meldplicht datalekken voor uw organisatie?
De verplichting om datalekken te melden is een aanvulling op Algemene Verordening Gegevensbescherming (AVG). Is er sprake van een ernstig datalek, dan moet dit in beginsel binnen 72 uur worden gemeld aan de Autoriteit Persoonsgegevens (“AP”). Een lek kan ernstig zijn als het om een grote hoeveelheid persoonsgebonden data gaat (kwantitatief ernstig) maar ook als het om gevoelige gegevens gaat zoals financiële gegevens, inloggegevens of gegevens over iemands godsdienst of ras (kwalitatief ernstig). Als het lek (waarschijnlijk) ongunstige gevolgen heeft voor de privacy van de betrokkenen moet dit niet alleen aan de AP maar ook aan de betrokkenen zelf worden gemeld.
Hoogte van de boetes onder de AVG
De bevoegdheid van toezichthouders om administratieve geldboetes op te legen bij inbreuk op de AVG is bedoeld te afschrikking. De Autoriteit Persoonsgegevens heeft beleidsregels ontwikkeld hoe hiermee om te gaan. De aanpassing in de wet geeft de AP ook een grotere stok om mee te slaan omdat deze vele hogere boetes mag opleggen dan voorheen.
De AVG introduceert twee categorieën overtredingen:
- overtredingen die zien op fundamentele verplichtingen;
- overtredingen die voornamelijk zien op meer administratief georiënteerde verplichtingen.
Overtredingen van de eerste categorie kunnen worden bestraft met een geldboete van maximaal € 20.000.000,- of 4% van de wereldwijde omzet. Voor categorie 2-overtredingen is dit maximaal € 10.000.000,- of 2% van de wereldwijde omzet. Als het percentage van de wereldwijde omzet hoger is dan de genoemde maximale geldboete, dan geldt dat als maximum. Hiervoor is gekozen om ook multinationals aan te sporen de AVG na te leven.
Wat te doen bij een datalek?
Organisaties moeten dus snel kunnen handelen. Zorg daarom dat u aan de nieuwe eisen van de wet voldoet en u een draaiboek klaar hebt liggen, mocht er een datalek plaatsvinden. Wij kunnen u hierbij helpen. Voor vragen en/of nadere informatie kunt u contact met ons opnemen via e-mail of telefonisch: 013 – 207 4999.