Zoals eerder aangegeven, zou het College bescherming persoonsgegevens (CBP) richtsnoeren publiceren inzake de nieuwe meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp). De conceptrichtsnoeren zijn deze week gepubliceerd en treft u hier. Organisaties kunnen deze richtsnoeren gebruiken bij het bepalen of er sprake is van een datalek dat zij moeten melden bij de toezichthouder en eventueel aan de betrokkenen.

Meldplicht datalekken

De wet houdt in dat de verantwoordelijke in de zin van de Wet bescherming persoonsgegevens een meldingsplicht heeft, zodra er persoonsgegevens op straat komen te liggen. Dit moet zowel gemeld worden bij de betrokkene (op wie de gegevens betrekking hebben) als bij het CBP. De meldplicht datalekken geldt met ingang van 1 januari 2016.

Daarnaast is de boetebevoegdheid van het CBP uitgebreid. Voorheen mocht het CBP een boete opleggen bij overtreding van een administratief voorschrift. Na deze uitbreiding, kan het CBP ook een boete opleggen bij schendig van meer algemene verplichtingen, die de wet stelt aan gebruik en verwerking van persoonsgegevens, bijvoorbeeld als de beveiliging niet deugt. Het bedrag van de boete kan oplopen tot maximaal € 810.000 of, indien hoger, 10% van de omzet van de verantwoordelijke organisatie.

Op de gepubliceerde richtsnoeren kunnen belanghebbende gedurende 4 weken reageren. De definitieve versie van de richtsnoeren treedt op 1 januari 2016 in werking. Vanaf die datum zal het CBP ook de naam Autoriteit Persoonsgegevens dragen.

Voor organisaties, die persoonsgegevens verwerken is het dus belangrijk om kennis te nemen van deze richtsnoeren om deze uiteindelijk te kunnen implementeren. Heeft u vragen op dit gebied, neemt u dan gerust eens contact met ons op.