Verzwijgen datalek kan 450.000 euro gaan kosten

Private én publieke organisaties krijgen een meldplicht voor beveiligingsincidenten waarbij de bescherming van persoonsgegevens in het geding is. Het niet melden kan resulteren in een boete van 450.000 euro.

Aanmerkelijke kans
Staatssecretaris Teeven van Veiligheid en Justitie heeft mede namens minister Plasterk van BZK en minister Kamp van EZ een wetsvoorstel daarover naar de Kamer gestuurd. Een (overheids-)organisatie die persoonsgegevens verwerkt - daaronder zijn in ieder geval alle gemeenten - en waarbij dergelijke gegevens naar buiten gelekt (kunnen) zijn, moet daarvan melding maken bij het College bescherming persoonsgegevens (Cbp). Tenminste, als 'redelijkerwijs kan worden aangenomen dat die [inbreuk] leidt tot een aanmerkelijke kans op verlies of onrechtmatige verwerking van persoonsgegevens'.

Ook betrokkene informeren
Het Cbp kan bij het achterwege laten van de melding besluiten tot een bestuurlijke boete van maximaal 450.000 euro, of het nu een publieke of een private organisatie betreft. Een melding moet ook worden gedaan aan de betrokken personen, als hun persoonlijke levenssfeer door de gegevensdiefstal waarschijnlijk wordt aangetast.

Transparantie voorop
Vertrouwen staat centraal, aldus de toelichting op de wetswijziging. 'Transparantie over de aard van het datalek, de vermoedelijke omvang ervan en aard van de mogelijke schade, de inspanningen die gepleegd worden om de schade te herstellen en raadgevingen aan publiek en klanten om zichzelf zo goed mogelijk in staat te stellen de consequenties voor de eigen belangen te overzien zijn noodzakelijke maatregelen voor behoud en herstel van dat vertrouwen.