Articles

Eerste Kamer stemt in met hoge privacyboetes en meldplicht datalekken

Eerste Kamer stemt in met hoge privacyboetes en meldplicht datalekken

Eerste Kamer stemt in met hoge privacyboetes en meldplicht datalekken

29.05.2015 NL law

Afgelopen dinsdag heeft de Eerste Kamer het wetsvoorstel waarmee hoge boetes bij niet-naleving van de Wet bescherming persoonsgegevens ("Wbp") worden geïntroduceerd, aangenomen. Ook zijn bedrijven binnenkort verplicht om datalekken aan de privacytoezichthouder te melden en in bepaalde gevallen ook aan de personen van wie gegevens gelekt zijn. 

Niet-naleving van de privacywetgeving kan leiden tot een bestuurlijke boete van maximaal EUR 810.000,- of 10% van de jaaromzet van de onderneming. Daarnaast krijgt het College bescherming persoonsgegevens na inwerkingtreding van het wetsvoorstel een nieuwe naam en zal voortaan de Autoriteit persoonsgegevens heten.


1. Meldplicht datalekken en verplicht intern overzicht
Steeds vaker verschijnen berichten in de media over privacygevoelige informatie die publiek toegankelijk is geworden door een hack of een lek in de beveiliging. Door de nieuwe wetgeving worden bedrijven verplicht om bij de Autoriteit persoonsgegevens melding te maken van elke inbreuk op de beveiliging van persoonsgegevens "die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens" (nieuw art. 34a lid 1 Wbp). Ook moeten de personen van wie de persoonsgegevens zijn gelekt, hiervan op de hoogte worden gebracht indien "de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer" (nieuw art. 34a lid 2 Wbp). Deze open normen zullen nader worden uitgewerkt in specifieke richtsnoeren van de Autoriteit persoonsgegevens. Bedrijven moeten in ieder geval een intern overzicht gaan bijhouden van bovengenoemde inbreuken.

2. Boetes
De Autoriteit persoonsgegevens kan door de aanpassing van de Wbp boetes gaan opleggen voor de overtreding van een groot aantal algemene verplichtingen (zie aangepast art. 66 Wbp). Deze boetes variëren van maximaal EUR 20.250,- voor relatief lichte overtredingen tot maximaal EUR 810.000,- voor opzettelijke en herhaaldelijke overtredingen. Voor rechtspersonen wordt de hoogte van de boete geflexibiliseerd: dit betekent dat als de hoogste boetecategorie niet tot een passende bestraffing leidt, de overtreding met een boete tot maximaal 10% van de jaaromzet van een onderneming mag worden gesanctioneerd.
 

Boetes mogen pas worden opgelegd nadat de Autoriteit een bindende aanwijzing aan de onderneming heeft gegeven. Via zo'n aanwijzing kan de Autoriteit aangeven wat de onderneming moet doen om een boete te ontlopen. In gevallen waarin sprake is van opzet of ernstig verwijtbare nalatigheid, blijft een bindende aanwijzing achterwege en kan de Autoriteit direct een boete opleggen.
 
3. Inwerkingtreding op korte termijn verwacht
De inwerkingtreding van de nieuwe regels wordt op korte termijn verwacht.
 

Related news

18.06.2021 NL law
FAQ: Wat houdt het Wetsvoorstel elektronische gegevensuitwisseling in de zorg (Wegiz) in en wat is de verhouding tot de AVG?

Short Reads - (Digitale) gegevensuitwisseling in de zorg is een actueel thema. Illustratief is een item bij EenVandaag van april 2021 waarin de analoge werkwijze bij gegevensuitwisseling in de zorg wordt aangekaart, maar ook dit artikel in het NRC van afgelopen maand waarin verslag werd gedaan van een datalek waardoor duizenden gevoelige patiëntgegevens op straat kwamen te liggen. 

Read more

04.05.2021 NL law
Participatie en privacyregels: hoe te combineren onder de Omgevingswet?

Short Reads - In het stelsel van de Omgevingswet (Ow) is een belangrijke rol bedacht voor participatie bij de totstandkoming van besluiten. Het beoogde resultaat: tijdig belangen, meningen en creativiteit op tafel krijgen en daarmee een groter draagvlak en kwalitatief betere besluitvorming bereiken. Door een grotere betrokkenheid van meer personen gaan overheden en initiatiefnemers ook meer persoonsgegevens verwerken. Dit brengt privacyrisico’s met zich mee. Wat regelt de Ow op het gebied van privacy, de verwerking van persoonsgegevens en datagebruik?

Read more

04.03.2021 BE law
Webinar: Responding to Personal Data Breaches in the Post-GDPR era

Seminar - On 24-26 March 2021 ERA (Adademy of European Law) organises an online Conference "Responding to Personal Data Breaches in the Post-GDPR era". Erik Valgaeren, our Brussels TMT partner, addresses the topic "Managing personal data breach in a complex international scenario", including cross border cases in the EU and breaches at non-EU establishments.

Read more

18.05.2021 NL law
Kroniek: De bestuursrechtelijke aspecten van de AVG

Articles - Tom Barkhuysen, Steven Bastiaans en Fatma Çapkurt (Universiteit Leiden) schreven samen de eerste editie van de nieuwe jaarlijkse NTB kroniek: de bestuursrechtelijke aspecten van de AVG. Hierin bespreken zij onder meer de meest relevante (bestuursrechtelijke) jurisprudentie van het afgelopen jaar op het gebied van de AVG.

Read more