Wijziging van de Wet bescherming persoonsgegevens en de Telecommunicatiewet in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens (meldplicht datalekken). Kamerstukken II, 33662, nr. 6.
"De leden van de PVV-fractie vragen of het voorgestelde systeem in het wetsvoorstel het meest effectief is om datalekken te voorkomen en de gevolgen voor betrokkenen te beperken. Het voorgestelde systeem is in belangrijke mate geënt op het systeem dat sedert 5 juni 2012 geldt op grond van artikel 11.3a van de Telecommunicatiewet voor aanbieders van elektronische communicatiediensten. Artikel 11.3a Tw is de Nederlandse omzetting van een richtlijnlijnverplichting (richtlijn 2009/136/EG tot wijziging van richtlijn 2002/58/EG, ook wel: e-privacy richtlijn). Eenzelfde systeem is opgenomen in de conceptverordening algemene gegevensbescherming. Uitgangspunt van die systemen is dat ieder datalek door de verantwoordelijke wordt gedocumenteerd en aan de toezichthouder wordt gemeld, maar dat het niet in alle gevallen nodig is om het datalek te melden aan de betrokkene wiens persoonsgegevens het betreft. De melding aan de betrokkene is bedoeld om deze te informeren over maatregelen die de betrokkene zelf kan nemen om de voor hem of haar mogelijk nadelige gevolgen van de beveiligingsinbreuk te beperken. Aan de Wbp-meldplicht ligt een meer risicogerichte benadering ten grondslag: zij geldt niet voor alle datalekken, maar alleen voor inbreuken met ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Verwacht wordt dat een meldplicht voor datalekken stimulerend zal werken op de op de verantwoordelijke rustende verplichting om zorg te dragen voor adequate beveiliging van de door hem verwerkte persoonsgegevens (krachtens artikel 13 Wbp). Daarmee zal deze bijdragen aan een betere bescherming van persoonsgegevens in het algemeen en een versterking van de positie van de burger in het bijzonder.
De leden van de SP-fractie vragen voorts aandacht voor de suggestie van Bits of Freedom om de meldplicht te laten gelden voor iedere vorm van ongeoorloofde toegang. Het is deze leden nog niet geheel duidelijk welk fundamenteel bezwaar de regering heeft tegen een dergelijke verruiming van de reikwijdte van de meldplicht. Wat is er onredelijk aan als het aan de betrokkene gemeld dient te worden indien en zodra er ongeoorloofde toegang is verschaft tot de persoonsgegevens van de betrokkene, zoals in de voorbeelden die Bits of Freedom noemt? Wat is de reactie van de regering op de voordelen aan dit andere uitgangspunt die door Bits of Freedom worden genoemd, namelijk het voorstel om ook vermoedens van ongeoorloofde toegang te melden en het voorstel dat ieder lek gemeld moet worden, ongeacht de (door de verantwoordelijke in te schatten) gevolgen voor de betrokkene? In het advies van Bits of Freedom van 29 februari 2012 worden tal van voorbeelden genoemd waarbij verschillende problemen spelen, zoals schending van (beroeps)integriteitsregels, schending van een beroepsgeheim of strafbare gedragingen. Hoewel alle voorbeelden samenhangen met verwerking van persoonsgegevens, is het criterium onbevoegde toegang als aanknopingspunt voor de meldplicht te abstract omdat dit ook naar geheel andere problemen kan verwijzen (zoals gebrek aan integriteitsbesef bij medewerkers in de organisatie of criminele activiteiten). Het voorstel van Bits of Freedom om alle gevallen van onbevoegde toegang tot persoonsgegevens en zelfs ook vermoedens van onbevoegde toegang meldingsplichtig te maken gaat daarmee het wettelijk kader van bescherming van persoonsgegevens te buiten."
Lees hier meer.
