Vergroot contrast

CBP adviseert over wetsvoorstel meldplicht datalekken en camerabeelden

Het College bescherming persoonsgegevens (CBP) heeft de staatssecretaris van Veiligheid en Justitie (V en J) en de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) geadviseerd over het wetsvoorstel ‘gebruik camerabeelden en meldplicht datalekken’. Het wetsvoorstel introduceert de plicht voor bedrijven en overheden die persoonsgegevens verzamelen en gebruiken om een datalek zo snel mogelijk te melden bij het CBP. Als een datalek niet wordt gemeld, kan het CBP het bedrijf of de overheidsinstantie een boete van maximaal € 200.000,- opleggen.

Het CBP adviseert onder meer om het wetsvoorstel inzake datalekken nauwer te laten aansluiten bij de Europese ontwerpverordening gegevensbescherming. Het Nederlandse wetsvoorstel kent anders dan de Europese ontwerpverordening een drempel voor het melden van zaken: niet alle zaken hoeven te worden gemeld.

Het CBP deelt de mening van de staatssecretaris dat niet iedere bagatelzaak moet worden gemeld, maar adviseert om pas na enige praktijkervaring met de meldplicht te definiëren welke datalekken wel en welke niet hoeven te worden gemeld.

Ook adviseert het CBP om helderheid te verschaffen over de rol van het CBP met betrekking tot de ontvangen meldingen en dit uit te werken in de Memorie van Toelichting.

Tot slot verzoekt het CBP de staatssecretaris van V en J en de minister van BZK om op korte termijn de gevolgen van invoering van de meldplicht datalekken voor de werklast van het CBP in kaart te brengen. Het CBP vreest dat de invoering van de meldplicht zodanige beheersmatige gevolgen heeft, dat het CBP zijn bestaande taken en bevoegdheden niet meer naar behoren kan uitvoeren als voor de nieuwe taken geen extra middelen ter beschikking komen.

Meldplicht datalekken

Invoering van de meldplicht datalekken zal de positie van burgers op het gebied van bescherming van persoonsgegevens versterken. De meldplicht zorgt ervoor dat burgers van wie de gegevens ‘op straat’ liggen, zo snel mogelijk actie kunnen ondernemen om mogelijke schade te beperken.

Tegelijkertijd zal de meldplicht inclusief boetebevoegdheid bedrijven en overheden stimuleren om al in de ontwerpfase van diensten en producten goed na te denken over een goede beveiliging om lekken te voorkomen.

Boetebevoegdheid

Het wetsvoorstel voorziet in een boetebevoegdheid voor het CBP als bedrijven en organisaties een datalek niet melden. In het wetgevingsadvies dringt het CBP er met klem op aan om - eveneens vooruitlopend op de Europese ontwerpverordening – nu ook een algemene boetebevoegdheid voor overtreding van de Wet bescherming persoonsgegevens te regelen.

Camerabeelden

Het wetsvoorstel doet ook voorstellen voor verruiming van de mogelijkheid om door particulieren vervaardigde camerabeelden in de opsporing te gebruiken. Het CBP kan zich in grote lijnen vinden in deze voorstellen.

In zijn advies merkt het CBP op dat in het wetsvoorstel en de Memorie van Toelichting wel duidelijk moet zijn welke opsporingsinstantie bevoegd is om actie te ondernemen wanneer beelden op een beeldscherm of internet worden geplaatst zonder de vereiste voorafgaande toestemming van de Officier van Justitie.

In de Memorie van Toelichting moet ook worden verduidelijkt welke actie een bedrijf of organisatie, die in eerste instantie persoonsgegevens openbaar heeft gemaakt via zijn eigen website, maar inmiddels heeft verwijderd, moet nemen tegen het beschikbaar blijven van deze persoonsgegevens via andere websites of andere media.