Met ingang van 1 januari 2016 is een wijziging van de Wet bescherming persoonsgegevens (Wbp) van kracht die een meldplicht regelt voor datalekken. Er is alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Bij een beveiligingsincident moet bijvoorbeeld worden gedacht aan het kwijtraken van een USB-stick, de diefstal van een laptop of aan een inbraak door een hacker bij organisaties die persoongsgegevens verstrekken.
De verwachting is dat beveiliging van persoonsgegevens een veel hogere prioriteit krijgt bij de ontwikkeling van producten en diensten. De meldplicht datalekken is geen doel op zich, maar een middel om te zorgen dat datalekken worden voorkomen.
De meldplicht houdt in dat organisaties die persoonsgegevens verwerken, datalekken moeten melden aan de Autoriteit Persoonsgegevens (Voorheen College Bescherming Persoonsgegevens). Daarnaast moet dat in bepaalde gevallen ook aan de betrokkene worden gemeld. De Autoriteit Persoonsgegevens heeft beleidsregels voor de meldplicht datalekken opgesteld.
Deze beleidsregels dienen tevens als uitgangspunt voor het handhavingsbeleid van de Autoriteit Persoonsgegevens. Bij overtreding van de meldplicht datalekken uit de Wbp kan de Autoriteit Persoonsgegevens namelijk een bestuurlijke boete opleggen. Deze bestuurlijke boete bedraagt ten hoogste het bedrag van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht. Dat is per 1 januari 2016 maximaal 820.000 euro. Indien de overtreding niet opzettelijk is gepleegd en er geen sprake is van ernstig verwijtbare nalatigheid, dan zal de Autoriteit Persoonsgegevens eerst een bindende aanwijzing opleggen voorafgaand aan eventuele oplegging van een bestuurlijke boete. Bij het opleggen van een bestuurlijke boete houdt de Autoriteit Persoonsgegevens rekening met alle omstandigheden van het geval. Een omstandigheid van het geval kan bestaan uit het feit dat de gegevens waarover het gaat niet door derden zijn ingezien.
Beleidsregel:
