Laatste update: 27 mei 2015

Meldplicht datalekken en uitbreiding boetebevoegdheid

Het wetsvoorstel voor een meldplicht datalekken en het uitbreiden van de boetebevoegdheid voor het College Bescherming Persoons­gegevens (CBP) is door de Eerste Kamer op 26 mei 2015 unaniem aangenomen. Het CBP gaat 'richtsnoeren' opstellen voor bedrijven om de meldplicht concrete invulling te geven.

De Eerste Kamer had nog wel vragen over de criteria voor het melden. In de wet staat daar nu over dat er gemeld moet worden bij "een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die door hem worden verwerkt". De Eerste Kamer wilde meer duidelijkheid over de termen "aanzienlijke kans" en "ernstig". De zorg bestaat dat bedrijven en instellingen uit voorzorg veel te snel melden om boetes te voorkomen. Staatssecretaris Dijkhoff heeft toegezegd dat het CBP samen met het ministerie met 'richtsnoeren'komt waarbij dit nadere invulling krijgt.

Verontwaardigd

Het wetsvoorstel (toelichting) werd op 10 februari 2015 unaniem door de Tweede Kamer aangenomen. Met een amendement heeft de Tweede Kamer daarbij de boetebevoegdheid voor het CBP krachtiger in het wetsvoorstel opgenomen dan toenmalig staatssecretaris Teeven voor ogen had. In zijn initiële wetsvoorstel mocht het CBP pas een boete geven nadat eerst een bindende aanwijzing gegeven was. De staatssecretaris stelde dat het CBP straks namelijk niet alleen de normen stelt, maar ook handhaaft. Daarmee zou teveel macht in één hand komen te liggen. Als eerst een dwingende aanwijzing gegeven wordt, wordt de overtreder gedwongen de situatie te corrigeren. Pas als deze aanwijzing onvoldoende opgevolgd wordt, zou het CBP een boete mogen uitdelen.

Voorzitter Kohnstamm van het CBP reageerde verontwaardigd. "We moeten drie of vier gele kaarten geven, voordat iemand het veld uitgestuurd kan worden. Bescherming persoonsgegevens is het in de ogen van staatssecretaris Teeven kennelijk niet waard om de toezichthouder een serieuze boetebevoegdheid te geven." (Radio 1, vanaf 1:40:00). Kohnstamm maakte zich zorgen dat bedrijven en instellingen risicoloos op een aanwijzing kunnen wachten alvorens serieus werk te maken van een goede beveiliging van persoonsgegevens. Met het aangenomen amendement is de Tweede Kamer gedeeltelijk aan deze bezwaren tegemoet gekomen en kan het CBP straks alsnog direct een boete opleggen bij ernstige nalatigheid. Een voorstel van D66 en Christenunie om in meer situaties direct boetes te kunnen opleggen, haalde geen meerderheid.

Bestuursrecht of strafrecht

De Raad van State is niet erg enthousiast over het wetsvoorstel. In haar advies aan de staatssecretaris vraagt dit adviesorgaan zich af waarom er niet voor een strafrechtelijke handhaving gekozen wordt. "De overtredingen zijn daarvoor ernstig genoeg en betreffen bovendien het grondrecht van bescherming van de persoonlijke levenssfeer. Bovendien [..] is het dan de rechter zelf die het bewijs beoordeelt en de straf oplegt". De Raad van State vraagt zich ook af waarom voor politie en justitie een uitzondering is gemaakt. Zij kunnen in het nieuwe wetsvoorstel slechts een beperkte boete opgelegd krijgen.

Meldplicht en uitbreiding boetebevoegdheid

Het wetsvoorstel regelt een uitbreiding van de boetebevoegdheid voor de toezichthouder. Het CBP mag op dit moment alleen een boete opleggen bij overtreding van een administratief voorschrift, bijvoorbeeld de verplichting om de verwerking van persoonsgegevens te melden. Straks kan dat ook bij schending van meer algemene verplichtingen die de wet stelt aan gebruik en verwerking van persoonsgegevens. Bijvoorbeeld als persoonsgegevens niet op een behoorlijke en zorgvuldige manier zijn verwerkt of langer worden bewaard dan noodzakelijk is, maar ook bijvoorbeeld als de beveiliging van de gegevens niet deugt. Het bedrag kan hierbij oplopen tot maximaal € 810.000 of, als dat hoger is, 10% van de omzet van een organisatie.

In het wetsvoorstel wordt ook geregeld dat zodra persoonsgegevens op straat komen te liggen, dit door de verantwoordelijke in bepaalde gevallen verplicht moet worden gemeld. Zowel de persoon op wie de gegevens betrekking hebben als het College Bescherming Persoonsgegevens (CBP) moeten in kennis worden gesteld. De meldplicht geldt voor bedrijven en overheid.

Het wetsvoorstel is een aanscherping van het wetsvoorstel dat staatssecretaris Teeven op 21 juni 2013 bij de Tweede Kamer indiende. In de toelichting schreef de staatssecretaris toen al dat de boetebevoegdheid van het CBP zou worden uitgebreid. Eerder had hij in een notitie en een brief al aangekondigd medio 2011 met een wetsvoorstel te komen. Die deadline is duidelijk niet gehaald.

Met dit wetsvoorstel wordt ook geregeld dat het CBP een andere naam krijgt. Het College Bescherming Persoonsgegevens zal dan verder gaan als Autoriteit Persoonsgegevens.

 

Laatste update: 27.05.2015

Status onderwerp: wet

Impact op privacy: 2

Dossier tweede kamer: 33662, 32761, 31051, 31841

Document stemmingen: https://zoek.officielebekendmakingen.nl/...

Datum stemming: 10.02.2015

Bekeken: 36.320 keer.

Tags: wbp, cbp, privacybeleid
 

 


Index

Stemming

Stemming over de wet 'meldplicht datalekken en uitbreiding boetebevoegdheid'*.

Let op: Dit is een voorstel met positieve impact op privacy!

* In de figuur is de stemming weergegeven zoals partijen in de Tweede Kamer hebben gestemd over deze wet. Als er geen balkje bij een partij staat, bestond de partij nog niet ten tijde van de stemming

Download onze app

Privacy VandaagVolg het actuele nieuws van het Nederlandse privacyfront met onze Android app. Download hem hier!

Deel deze pagina via:

Heb jij wat te verbergen?

fotoMensen hebben niets te verbergen als je ze dat vraagt. Of toch wel? Bekijk de video op Youtube.

Facebook opzeggen

opzeggenLees hier hoe je je Facebook-account kan opzeggen. >>>

Nieuws- & Opinie

Om het privacy-debat te stimuleren heeft Privacy Barometer ook een nieuws- en opiniepagina.

07-11-18

Gebruik risicoprofielen in de zorg krijgt wettelijke basis

Het opstellen van risicoprofielen van mensen voor het gebruik van medische zorg krijgt een wettelijke basis. Minister Bruins (VVD) heeft hiervoor een wetsvoorstel ingediend.  Het Zorginstituut stelt namens het ministerie per verzekerde een risicoprofiel op. Deze persoonlijke medische risicoprofielen worden gebruikt om kosten tussen zorgverzekeraars te kunnen verrekenen. Lees verder >>>

mobiele versie | volledige versie

deze pagina is samengesteld in: 0.145 seconden