Update meldplicht datalekken en de boetebevoegdheid van het CBP

Jan Baas
Jan Baas Advocaat / partner

Op 1 januari 2016 treden de meldplicht datalekken en de nieuwe boetebevoegdheid van het College bescherming persoonsgegevens (CBP) in werking. Inmiddels zijn concepten gepubliceerd voor de richtsnoeren meldplicht datalekken en voor boetebeleidsregels.

Richtsnoeren meldplicht datalekken

De richtsnoeren meldplicht datalekken zijn opgesteld om organisaties te helpen bij de vraag of er sprake is van een datalek dat zij moeten melden. Ze gaan in op de vraag of sprake is van een datalek, of er voor dat datalek ook een meldplicht aan de toezichthouder en/of de betrokkene geldt, hoe het datalek moet worden gemeld en wanneer dat moet gebeuren. Daarnaast komt aan de orde wat er allemaal intern moet worden vastgelegd over een datalek.

De conceptrichtsnoeren geven houvast, maar geven ook aanleiding tot discussie. Zo moet een melding volgens de wet onverwijld worden gedaan. De conceptrichtsnoeren concretiseren dat en zeggen dat de melding aan de toezichthouder binnen twee werkdagen moet worden gedaan. Die termijn kan – afhankelijk van de omstandigheden, zoals een groot, urgent datalek – te lang zijn, in andere situaties juist te kort. Daarom zou het beter zijn de termijn van twee werkdagen meer als vuistregel te zien dan als harde grens. Ook is opvallend dat de toezichthouder situaties die volgens de parlementaire geschiedenis van de wet buiten de meldplicht vallen, er wel onder wil begrijpen. Inmiddels is de consultatie voor deze conceptrichtsnoeren gesloten. De verwachting is dat de definitieve versie van de richtsnoeren spoedig zal worden gepubliceerd.

Boetebeleidsregels

De boetebeleidsregels zijn nog maar net verschenen, reacties kunnen worden ingediend tot 4 weken na 22 oktober. In de beleidsregels zijn mogelijke overtredingen van de Wbp ingedeeld in drie zwaartecategorieën, met een bijbehorende bandbreedte van de basisboete die voor de betreffende overtreding wordt toegepast. Daarnaast wordt een beperkt aantal omstandigheden genoemd dat tot verlaging of verhoging van de boete kan leiden ten opzichte van de basisboete.

Zo is een overtreding van bijna alle materiële bepalingen van de Wet bescherming persoongegevens (Wbp) geplaatst in de tweede of derde categorie. Dit betekent een basisboete van tenminste € 120.000. Daarbij gaat het o.a. om de verplichting om doeleinden van verwerkingen te omschrijven, naleving van bewaartermijnen, de beveiligingsverplichting en om informatieplichten jegens betrokkenen.

Er zijn op dit moment maar weinig organisaties in Nederland die volledig en naar de letter aan al deze verplichtingen voldoen. Uit de boetebeleidsregels kan niet worden afgeleid hoe het CBP hier in de praktijk mee om wil gaan. Het soort situaties dat aan het CBP ter beoordeling voorligt, is zeer divers. Van gegevensverwerkingen van particulieren en verenigingen tot die van multinationals en internetgiganten. En van situaties die nauwelijks risico inhouden tot verwerkingen van zeer gevoelige gegevens. Het lijkt onwaarschijnlijk, en in ieder geval volstrekt onwenselijk, dat in al deze situaties een boete zou worden berekend vanaf een minimum van bijvoorbeeld € 120.000. Het is daarbij ook de vraag hoe zich dit zou verhouden tot het evenredigheidsbeginsel. Helaas bieden de boetebeleidsregels op dit vlak vooralsnog weinig tot geen houvast.

Nog zes weken, dan moet uw organisatie er klaar voor zijn!

Hoe het CBP de boetebevoegdheid in de praktijk ook toe zal passen, het is duidelijk dat de nieuwe boetebevoegdheid het risico in geval van niet-naleving van de Wbp aanmerkelijk verhoogt. Het is van belang dat uw organisatie per 1 januari aanstaande haar zaken op orde heeft. Denk daarbij aan de volgende onderwerpen:

  • Hebt u de nodige procedures vastgelegd omtrent de wijze waarop met de meldplicht datalekken zal worden omgegaan?
  • Hebt u de contracten met bewerkers en andere samenwerkingspartners gecontroleerd en zo nodig aangepast aan de nieuwe regels?
  • Beschikt uw organisatie over een deugdelijk ICT-beveiligingsplan?
  • Heeft uw organisatie een inventarisatie gedaan, verwerkingsdoeleinden vastgelegd, eventueel gemeld bij het CBP, en anderszins gecontroleerd en vastgelegd of en op welke wijze aan de verplichtingen ingevolge de Wbp wordt voldaan?

In het seminar ‘Actualiteiten privacyrecht’ wordt veel aandacht gegeven aan de praktische voorbereiding op de komende wetswijziging.