Wijziging van de Wet bescherming persoonsgegevens en de Telecommunicatiewet in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens (meldplicht datalekken), Voorstel van wet en Memorie van Toelichting.
"1. Strekking van het wetsvoorstel
In dit wetsvoorstel wordt een meldplicht geïntroduceerd in de Wet bescherming persoonsgegevens (hierna: Wbp) voor verantwoordelijken voor de verwerking van persoonsgegevens in geval van gebleken doorbrekingen van de getroffen maatregelen ter beveiliging van persoonsgegevens. De verantwoordelijke moet op grond van het voorgestelde artikel 34a van de Wbp bij een inbreuk waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op verlies of onrechtmatige verwerking van persoonsgegevens een melding doen bij de toezichthouder, het College bescherming persoonsgegevens (hierna: Cbp). Daarnaast dient in de meeste gevallen een melding aan de betrokkene te geschieden indien de inbreuk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. De meldplicht rust op alle verantwoordelijken voor de verwerking, zowel in de private als publieke sector. Het nalaten aan deze verplichtingen te voldoen kan worden gesanctioneerd met een bestuurlijke boete, op te leggen door het Cbp. Het doel van de meldplicht is het voorkomen van datalekken ten gevolge van doorbreking van beveiligingsmaatregelen en als deze zich toch voordoen, de gevolgen ervan voor de betrokkenen zoveel mogelijk te beperken. Met de meldplicht wordt bijgedragen aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens.
[...] 2.3 Verhouding met voorstel Algemene verordening gegevensbescherming
Op 25 januari 2012 heeft de Europese Commissie een voorstel gepresenteerd voor een Algemene verordening gegevensbescherming (COM (2012)11 def). Deze verordening zal richtlijn 95/46/EG vervangen en daarmee ook de Wbp (de richtlijn is in Nederland in de Wbp geïmplementeerd). De artikelen 31 en 32 van de ontwerpverordening bevatten een algemene regeling voor een meldplicht van datalekken aan de toezichthouder respectievelijk de betrokkene. Mede naar aanleiding van het advies van Cbp is overwogen of de regeling van dit wetsvoorstel niet volledig moet worden toegesneden op die van de ontwerpverordening. Ook in de zienswijzen van andere organisaties is daarop aangedrongen, zoals VNO/NCW-MKB Nederland en ICT-Office. Daarvan wordt afgezien. De regeling van de meldplicht in de ontwerpverordening geeft in dit stadium nog te veel aanleiding tot vragen over de reikwijdte van de daarin opgenomen verplichtingen en de invulling van de daarbij in acht te nemen voorwaarden. Het is nog te prematuur om ervan uit te gaan dat de Europese wetgever met een redelijke mate van zekerheid regeling overeenkomstig het voorstel zal vaststellen. Naar verwachting zal het bovendien nog geruime tijd duren voor de ontwerpverordening wordt vastgesteld. Toch is het advies van het Cbp aanleiding geweest het aanvankelijke voorstel voor artikel 34a van de Wbp tekstueel zo nauw mogelijk te laten aansluiten bij artikel 11.3a van de Telecommunicatiewet dat de implementatie vormt van artikel 4, derde lid, van richtlijn 2002/58/EG. Deze bepaling bevat een specifieke meldplicht voor aanbieders van openbare elektronische communicatiediensten met betrekking tot datalekken, die ook ten grondslag ligt aan de artikelen 31 en 32 van de ontwerpverordening. Naar verwachting zal de verordening niet eerder dan in 2016 in werking treden.
Voor de volledigheid zij vermeld dat ook het voorstel van de Europese Commissie voor een richtlijn ter bescherming van personen met betrekking tot de verwerking van persoonsgegevens door de bevoegde autoriteiten ten behoeve van opsporing en vervolging (COM (2012) 10 final) een meldplicht voor datalekken bevat (artikelen 28 en 29 van de ontwerprichtlijn)."
Lees het wetsvoorstel hier en de MvT hier.
