Articles

Eerste Kamer stemt in met hoge privacyboetes en meldplicht datalekken

Eerste Kamer stemt in met hoge privacyboetes en meldplicht datalekken

Eerste Kamer stemt in met hoge privacyboetes en meldplicht datalekken

29.05.2015 NL law

Afgelopen dinsdag heeft de Eerste Kamer het wetsvoorstel waarmee hoge boetes bij niet-naleving van de Wet bescherming persoonsgegevens ("Wbp") worden geïntroduceerd, aangenomen. Ook zijn bedrijven binnenkort verplicht om datalekken aan de privacytoezichthouder te melden en in bepaalde gevallen ook aan de personen van wie gegevens gelekt zijn. 

Niet-naleving van de privacywetgeving kan leiden tot een bestuurlijke boete van maximaal EUR 810.000,- of 10% van de jaaromzet van de onderneming. Daarnaast krijgt het College bescherming persoonsgegevens na inwerkingtreding van het wetsvoorstel een nieuwe naam en zal voortaan de Autoriteit persoonsgegevens heten.


1. Meldplicht datalekken en verplicht intern overzicht
Steeds vaker verschijnen berichten in de media over privacygevoelige informatie die publiek toegankelijk is geworden door een hack of een lek in de beveiliging. Door de nieuwe wetgeving worden bedrijven verplicht om bij de Autoriteit persoonsgegevens melding te maken van elke inbreuk op de beveiliging van persoonsgegevens "die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens" (nieuw art. 34a lid 1 Wbp). Ook moeten de personen van wie de persoonsgegevens zijn gelekt, hiervan op de hoogte worden gebracht indien "de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer" (nieuw art. 34a lid 2 Wbp). Deze open normen zullen nader worden uitgewerkt in specifieke richtsnoeren van de Autoriteit persoonsgegevens. Bedrijven moeten in ieder geval een intern overzicht gaan bijhouden van bovengenoemde inbreuken.

2. Boetes
De Autoriteit persoonsgegevens kan door de aanpassing van de Wbp boetes gaan opleggen voor de overtreding van een groot aantal algemene verplichtingen (zie aangepast art. 66 Wbp). Deze boetes variëren van maximaal EUR 20.250,- voor relatief lichte overtredingen tot maximaal EUR 810.000,- voor opzettelijke en herhaaldelijke overtredingen. Voor rechtspersonen wordt de hoogte van de boete geflexibiliseerd: dit betekent dat als de hoogste boetecategorie niet tot een passende bestraffing leidt, de overtreding met een boete tot maximaal 10% van de jaaromzet van een onderneming mag worden gesanctioneerd.
 

Boetes mogen pas worden opgelegd nadat de Autoriteit een bindende aanwijzing aan de onderneming heeft gegeven. Via zo'n aanwijzing kan de Autoriteit aangeven wat de onderneming moet doen om een boete te ontlopen. In gevallen waarin sprake is van opzet of ernstig verwijtbare nalatigheid, blijft een bindende aanwijzing achterwege en kan de Autoriteit direct een boete opleggen.
 
3. Inwerkingtreding op korte termijn verwacht
De inwerkingtreding van de nieuwe regels wordt op korte termijn verwacht.
 

Related news

22.02.2019 BE law
Sarah De Wulf on challenges of SAP contracts and indirect use during a Beltug seminar.

Speaking slot - Sarah De Wulf, junior TMT associate, discusses SAP licensing agreements during a Beltug seminar on 20 February 2019. Many of the Beltug members are customers of SAP and face daily questions and challenges regarding SAP's software licensing policies.  These questions include (among others): how the licence models will evolve (especially in terms of the growth of cloud services) and how to cope with indirect access.

Read more

21.03.2019 NL law
15 aspects of Brexit you did not know

Short Reads - A Brexit without a deal, or with a deal that does not cover all relevant aspects, is still a potential scenario. We have highlighted a number of unexpected legal consequences of Brexit in such a no deal or incomplete deal scenario.

Read more

18.02.2019 EU law
Erik Valgaeren moderates a panel on Data Governance and Compliance during IBA's Silicon Beach Conference

Speaking slot - The discussion topic will cover various legal aspects relating to data lifecycle management, both for personal and non personal data. These aspects will include rights in and obligations regarding data, such retention obligations and portability rights. Practical suggestions on holistic data management and the role of the chief data officer will be debated.

Read more

Our website uses cookies: third party analytics cookies to best adapt our website to your needs & cookies to enable social media functionalities. For more information on the use of cookies, please check our Privacy and Cookie Policy. Please note that you can change your cookie opt-ins at any time via your browser settings.

Privacy – en cookieverklaring