Wijziging van de Wet bescherming persoonsgegevens en enige andere wetten in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens alsmede uitbreiding van de bevoegdheid van het College bescherming persoonsgegevens om bij overtreding van het bepaalde bij of krachtens de Wet bescherming persoonsgegevens een bestuurlijke boete op te leggen (meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp), Kamerstukken I, 33662, nr. C, Memorie van Antwoord, ontvangen 19 mei 2015.
"De leden van de SP-fractie en de GroenLinks-fractie vragen of de regering het met hen eens is dat idealiter bedrijven hun klanten zelf actief informeren bij een mogelijk datalek. Op deze wijze kan de klant zelf stappen ondernemen om zijn wachtwoord te wijzigen. Is de regering het met deze leden eens dat dit zeker moet gebeuren bij ieder lek waar ook financiële gegevens zijn buitgemaakt? Zo ja, op welke wijze wil de regering zich hiervoor inzetten? De leden zouden zich kunnen voorstellen dat een dergelijke informatieplicht eerst op basis van zelfregulering kan worden geïntroduceerd. Graag een reactie van de regering.
Ik kan de eerste vraag van deze leden bevestigend beantwoorden. De in dit wetsvoorstel voorgestelde meldplicht strekt ertoe bedrijven en (overheids)organisaties hun verantwoordelijkheid te laten nemen indien zich bij door hen verwerkte persoonsgegevens een datalek voordoet. Als hiervan waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van de klant zijn te verwachten, moet deze actief worden ingelicht. Ook moet de verantwoordelijke de klant informeren over maatregelen waarmee de ongunstige gevolgen kunnen worden beperkt, zoals het wijzigen van zijn wachtwoord.
Deze leden vragen voorts of de regering hun opvatting deelt dat het informeren van de klant zeker moet gebeuren bij ieder lek waarbij financiële gegevens van de klant betrokken zijn. Ik ben met deze leden van mening dat een datalek waarbij financiële gegevens in verkeerde handen zijn gevallen nadelige gevolgen kan hebben voor de persoonlijke levenssfeer van de betrokkene. Het informeren van de betrokkene, naast uiteraard het Cbp, ligt naar mijn mening dan ook in de rede. Dit volgt uit artikel 34a, tweede lid. Echter, het tiende lid van artikel 34a, bevat een uitzondering voor financiële ondernemingen als bedoeld in het Wet op het financieel toezicht (Wft). Deze zijn uitgezonderd van de wettelijk verplichte melding aan de klanten in verband met potentieel verstrekkende consequenties van dergelijke openbare kennisgevingen in de financiële sector. Financiële ondernemingen hebben overigens de verplichting al om incidenten, waaronder ICT-incidenten, te melden aan de toezichthouders indien die incidenten een ernstig gevaar vormen voor de integere bedrijfsuitoefening. De zorgplicht van de financiële onderneming (art. 4:24a Wft) zal daarnaast waarborgen dat zij ook zonder dat dit dwingend wordt voorgeschreven haar verantwoordelijkheid jegens haar cliënten, in rechtstreeks contact met die cliënten, zal nemen. Dat doen deze ondernemingen nu al met betrekking tot incidenten onder de Wft en dat zal niet anders zijn ten aanzien van datalekken onder dit wetsvoorstel. Artikel 4:24a Wft kan zo nodig door de Autoriteit Financiële Markten worden gehandhaafd. Aan de door deze leden gesuggereerde zelfregulering bestaat mijns inziens, in het licht van het bovenstaande, geen behoefte."
Lees hier meer.
