Het College Bescherming Persoonsgegevens heeft nu pas haar beleidsregels voor de nieuwe meldplicht datalekken gepubliceerd, terwijl de wet op 1 januari 2016 meteen van kracht wordt. Bedrijven hebben nu slechts drie weken om hun interne beleid en contracten op de nieuwe regels af te stemmen. Nederland ICT vindt die termijn veel te krap. De branchevereniging rekent op coulance in de handhaving.
De meldplicht datalekken zelf werd al in juni 2015 aangenomen door de Eerste Kamer. De wet verplicht bedrijven tot het melden van inbreuken op de beveiliging van persoonsgegevens die ernstige nadelige gevolgen kunnen hebben. Het CBP heeft de bevoegdheid om boetes op te leggen die op kunnen lopen tot 810.000 euro. De wet moet zorgen dat datalekken worden voorkomen.
Nederland ICT steunt het voornemen van de overheid om de bescherming van persoonsgegevens te verbeteren. De meldplicht kan daar een goed instrument voor zijn. Dat vereist wel duidelijke regels en daarmee rechtszekerheid voor bedrijven.
De wettekst zelf bood deze duidelijkheid niet, maar zou verder uitgelegd worden in beleidsregels. Nederland ICT heeft van het CBP de gelegenheid gekregen om eerdere versies van deze beleidsregels te becommentariëren.
De definitieve versie van de beleidsregels worden bij publiceren van dit bericht nog door Nederland ICT bestudeerd. De branchevereniging komt op korte termijn met een voorbeeld bewerkersovereenkomst, bedoeld als handvat voor ICT-bedrijven om hun afspraken met klanten op de nieuwe meldplicht te kunnen afstemmen.
