CBP niet tevreden met wetsvoorstel voor meldplicht datalekken

In de aanbiedingsbrief van het CBP aan het Ministerie van Economische Zaken vraagt de toezichtshouder de voorgestelde wet aan te passen:

In het wetsvoorstel worden twee meldplichten geïntroduceerd, een meldplicht voor inbreuken in verband met persoonsgegevens, die bij OPTA zal worden belegd en een meldplicht voor inbreuken op de veiligheid en verliezen van netwerkintegriteit, die zal worden belegd bij de minister van Economische Zaken. In het wetsvoorstel wordt voorzien dat beide meldingen praktisch gezien bij eenzelfde centraal meldpunt worden gedaan. Deze wijze van beleggen staat op gespannen voet met de eis dat de autoriteiten die belast zijn met het toezicht op het verwerken van persoonsgegevens hun taken in volledige onafhankelijkheid moeten kunnen vervullen. Complicaties ontstaan onder meer in verband met het feit dat in de praktijk inbreuken op de veiligheid en verlies van integriteit nagenoeg altijd gepaard zullen gaan met het vrijkomen van persoonsgegevens. De verspreide belegging draagt voorts het risico van verhoging van administratieve lasten en inconsistenties c.q. inefficiency in de uitvoering en toename van de toezichtsdruk. Het wetsvoorstel voorziet voorts in een regeling inzake voorafgaande toestemming voor toegang tot c.q. opslag van gegevens die zijn opgeslagen in de randapparatuur (cookies, spyware) van de gebruiker en in een informatieplicht aan die gebruiker. Hiervoor wordt een specifieke plicht tot voorafgaande toestemming en een informatieverplichting in de Telecommunicatiewet neergelegd. Daarnaast blijven de algemene eisen van voorafgaande toestemming en de informatieplicht, die gelden voor alle verwerkingen van persoonsgegevens en die zijn neergelegd in de Wet bescherming persoonsgegevens, onverkort gelden. Gegevensverwerking middels randapparatuur zal zodoende binnen het toezichtveld van zowel OPTA als CBP vallen. Dubbel toezicht kan leiden tot verhoging van administratieve lasten. Het noopt voorts tot voorzieningen ter vermijding van inefficiency in toezicht en handhaving, en ter vermijding van inconsistenties in de interpretatie van de regelgeving c.q. negatieve interferentie met de bestaande privacywetgeving. Tot slot wordt geadviseerd de mogelijkheid van “class action”in het wetsvoorstel op te nemen.

Het CBP publiceerde ook het volledige wetgevingsadvies.