Wettelijke verplichting om lekken persoonsgegevens te melden

Private en publieke organisaties die persoonsgegevens verwerken moeten inbreuken op de beveiliging die leiden tot diefstal, verlies of misbruik van persoonsgegevens melden.

Staatssecretaris Teeven van Veiligheid en Justitie heeft, mede namens de minister Plasterk van Binnenlandse Zaken en Koninkrijksrelaties en minister Kamp van Economische Zaken, het wetsvoorstel meldplicht datalekken naar de Tweede Kamer gestuurd.

Zowel private als publieke organisaties die persoonsgegevens verwerken worden straks verplicht om inbreuken op de beveiliging die leiden tot diefstal, verlies of misbruik van persoonsgegevens te melden. Dat zijn dus meer organisaties dan de aanbieders van elektronische communicatienetwerken en -diensten voor wie op grond van de Telecommunicatiewet reeds een meldplicht geldt bij diefstal, verlies of misbruik van persoonsgegevens van abonnee of gebruiker. Het doel van de meldplicht is om tot een betere bescherming van persoonsgegevens te komen.

Door een beveiligingsfout kunnen grote hoeveelheden persoonsgegevens op straat belanden. De toezichthouder – het College bescherming persoonsgegevens (Cbp) – ontvangt een melding. Daarnaast ontvangt in veel gevallen ook degene wiens persoonsgegevens het betreft een melding, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.

Is er sprake van nalatigheid om te melden, dan kan het Cbp een boete opleggen van maximaal 450.000 euro.

Verzekeren wordt nog belangrijker

In maart vorig jaar zei Daniel Jacobs, Technical Lines Manager Benelux bij ACE, in een interview met Findinet het al: “ Het zal niet lang meer zal duren voordat bedrijven wet¬telijk verplicht worden om in¬breuken op de privacyregels te melden aan de toezicht¬houder.” Nu komt het er dus echt van.

“Maar het compliant moeten zijn is niet het enige risico dat bedrijven lopen”, merkt Daniels op. “Het niet voldoen aan de wettelijke verplichtin¬gen zet al snel de reputatie van een bedrijf op het spel. Er zijn in het verleden veel meer incidenten geweest dan die de krant gehaald hebben. Maar bedrijven hielden vanouds de schendingen van de privacy stil.”

Dat is zodra deze wet is aangenomen niet meer mogelijk.

Daniels: “Het voorval zal gecommuniceerd moeten worden met de klanten en wel op zodanige manier dat de reputatieschade tot een minimum wordt beperkt. Daarnaast bestaat de mogelijkheid dat er schade wordt geleden door derden. Het daaropvolgende traject is het onderzoek hoe het lek heeft kunnen ontstaan.”

Het is duidelijk dat al deze zaken enorme kosten met zich meebrengen. Het is goed te weten dat er verzekeringen op de markt zijn die deze kosten dekken. Sommige producten gaan ver in de dekking en sluiten ook de kosten in van risicomanagers, publiciteitsfunctionarissen, bedrijfsstilstand en eventuele strafrechtelijke vervolging.

GEEN REACTIES