2min Security

Eerste Kamer keurt meldplicht datalekken goed

Eerste Kamer keurt meldplicht datalekken goed

Het wetsvoorstel voor een meldplicht datalekken en uitbreiding van de boetebevoegdheid voor het College Bescherming Persoons­gegevens (CBP) is door de Eerste Kamer met instemming ontvangen. Alleen de SP heeft gemengde gevoelens.

De Eerste Kamer heeft nog wel vragen. VVD en CDA vragen zich wel af hoe het wetsvoorstel zich verhoudt tot de komende privacyregels uit Europa.

De PvdA wil weten of de maximale boete van 10% van de omzet niet gemaximeerd zou moeten worden, omdat anders de bevoegdheid van het CBP wel erg ruim kan uitvallen.

Het wetsvoorstel werd op 10 februari 2015 unaniem door de Tweede Kamer aangenomen. Met een amendement heeft de Tweede Kamer daarbij de boetebevoegdheid voor het CBP krachtiger in het wetsvoorstel opgenomen. Het CBP kan straks direct een boete opleggen bij ernstige nalatigheid.

De wet Meldplicht Datalekken regelt uitbreiding van de boetebevoegdheid voor de toezichthouder. Als persoonsgegevens niet op een behoorlijke en zorgvuldige manier zijn verwerkt of langer worden bewaard dan noodzakelijk, of als de beveiliging van de gegevens niet deugt, kan het CBP een boete tot maximaal € 810.000 of 10% van de omzet van een organisatie.

Zodra persoonsgegevens op straat komen te liggen, zijn de verantwoordelijken verplicht dit zowel aan de persoon op wie de gegevens betrekking hebben, als het College Bescherming Persoonsgegevens (CBP) te melden. De meldplicht geldt zowel voor bedrijven als voor de overheid.

Raad van State

De Raad van State is overigens niet erg enthousiast over het aangenomen wetsvoorstel. Het adviesorgaan vraagt zich af waarom er niet voor een strafrechtelijke handhaving gekozen wordt. “De overtredingen zijn daarvoor ernstig genoeg en betreffen bovendien het grondrecht van bescherming van de persoonlijke levenssfeer. Bovendien [..] is het dan de rechter zelf die het bewijs beoordeelt en de straf oplegt”. De Raad van State vraagt zich ook af waarom voor politie en justitie een uitzondering is gemaakt. Zij kunnen in de nieuwe wet slechts een beperkte boete opgelegd krijgen.

Met het aannemen van dit wetsvoorstel wordt ook geregeld dat het CBP een andere naam krijgt. Het College Bescherming Persoonsgegevens zal dan verder gaan als Autoriteit Persoonsgegevens.