Ministerie stuurt parlement wetsvoorstel meldplicht datalekken

Afbeelding: broken_lock van psistrm | Licentie: CC BY-NC-SA 2.0

De meeste adviezen van Bits of Freedom worden genegeerd, waardoor niet elk lek moet worden gemeld.

De staatssecretaris wil de Wet bescherming persoonsgegevens uitbreiden met het volgende artikel:

Artikel 34a

  1. De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens die door hem worden verwerkt.
  2. De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.
  3. De kennisgeving aan het College en de betrokkene omvat in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken.
  4. De kennisgeving aan het College omvat tevens een beschrijving van deĀ geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen.
  5. De kennisgeving aan de betrokkene wordt op zodanige wijze gedaan dat, rekening houdend met de aard van de inbreuk, de geconstateerde en de feitelijke gevolgen daarvan voor de verwerking van persoonsgegevens, de kring van betrokkenen en de kosten van tenuitvoerlegging, een behoorlijke en zorgvuldige informatievoorziening is gewaarborgd.
  6. De kennisgeving aan de betrokkene is niet vereist indien de verantwoordelijke gepaste technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft versleuteld zijn of anderszins onbegrijpelijk zijn gemaakt voor eenieder die geen recht heeft op kennisname van de gegevens.
  7. Indien de verantwoordelijke geen kennisgeving aan de betrokkene doet, kan het College, indien het van oordeel is dat inbreuk waarschijnlijk nadelige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene, van de verantwoordelijke verlangen dat hij alsnog een kennisgeving doet.
  8. De verantwoordelijke houdt een overzicht bij van alle inbreuken. Dit overzicht bevat in elk geval de feiten en de gegevens, bedoeld in het derde lid, alsmede de tekst van de kennisgeving aan de betrokkene.

[…]

De sanctie op een overtreding wordt geregeld in een nieuw lid van artikel 66:

Het College kan aan de verantwoordelijke een bestuurlijke boete opleggen van ten hoogste ā‚¬ 450.000 ter zake van overtreding van het bij of krachtens artikel 34a bepaalde, alsmede van artikel 5:20 van de Algemene wet bestuursrecht.

Het voorstel negeert een groot aantal van de aanbevelingen van Bits of Freedom, iets dat expliciet wordt bevestigt in de Memorie van Toelichting op het wetsvoorstel. De toezending van het wetsvoorstel aan de Tweede Kamer, gegeven de behandeling in Brussel van nieuwe regels die persoonsgegevens moeten gaan beschermen – en onze Wet bescherming persoonsgegevens zal overschrijven.