Mod edit: titel aangepast nu - anno 2016 - er na invoering van de wetswijziging opnieuw behoefte tot discussie bestaat

 

Wetswijzing meldplicht datalekken en boetebevoegdheid CBP in werking

 

Korte samenvatting:

de aangenomen wetswijziging ‘Meldplicht van datalekken en uitbreiding bestuurlijke boetebevoegdheid College Bescherming Persoonsgegevens (CBP)" is sneller dan verwacht vandaag gepubliceerd en in werking getreden

 

Vanaf vandaag Edit: vanaf het moment van in werking treden van deze wet per koninklijk besluit moet een datalek gemeld worden bij het CBP als er sprake is van een inbreuk op de beveiliging, en deze inbreuk leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Daar komt bij dat je een datalek niet alleen moet melden bij het CBP, maar óók bij de betrokkenen indien het lek nadelige gevolgen kan hebben voor de persoonlijke levenssfeer van de betrokkenen.

 

Meld je een datalek toch niet dan kan het CBP een boete opleggen.

 

Waarom vind je dit interessant of wil je dit delen?:

De maximale boete is edit: wordt bij inwerkingtreding verhoogd van € 4.500,- naar € 810.000,-.

 

Om het met de woorden van auteur Lisette Meij van ICTPrivacyrecht te zeggen : "Dat is andere koek"!

 

 

Waarom vind je dit interessant of wil je dit delen?:

De maximale boete is verhoogd van € 4.500,- naar € 810.000,-.

Om het met de woorden van auteur Lisette Meij van ICTPrivacyrecht te zeggen : "Dat is andere koek"!

Vind je dat Higherlevel.nl zelf zich iets aan deze wet gelegen zou moeten laten liggen?

Moeilijk om hier iets op te zeggen zonder op iemands tenen te gaan staan.

 

Ik denk dat niemand tegen het goed beschermen van gegevens en privacy is. Maar als de overheid er in de handhaving net zo'n puinhoop van maakt als werkelijk alle ICT projecten die ik ken van de overheid (OV, Politie, UWV, SVB, EPD, Diginotar, werk.nl, enzovoorts, enzovoorts) dan weet ik al weer waar dit naar toe gaat.

 

Hoewel ze niet helemaal te vergelijken zijn zet ik toch twee recente onderwerpen naast elkaar:

Het gedrocht Cookiewet (met handhaving door de overheid) en de Social media code die de branche zelf heeft ingesteld (mede na de cookie ramp). De tweede werkt aardig, de eerste mag je zelf invullen.

 

Praktisch gezien zou ik zeggen; Hou je zaken op orde, maar ga niet je site omgooien uit angst voor een boete. Meestal wordt de soep niet zo heet gegeten. Gewoon de waarschuwingen afwachten en kijken wie er als eerste écht een boete krijgt. Dan weet je meteen waar de grens ligt.

Wat ik er merkwaardig aan vind: het is geen boete voor het hebben van een datalek, maar voor het niet melden van een datalek. Dat klinkt als een oer-Hollandse gedoogconstructie: data lekken mag, als je het maar meldt…

Wellicht lees ik er overheen, maar wanneer gaan de wijzigingen in?

Wellicht lees ik er overheen, maar wanneer gaan de wijzigingen in?

Per direct :)

Vanaf vandaag moet een datalek gemeld worden bij het CBP als er sprake is van een inbreuk op de beveiliging, en deze inbreuk leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens

 

Wellicht lees ik er overheen, maar wanneer gaan de wijzigingen in?

Per direct :)

Vanaf vandaag moet een datalek gemeld worden bij het CBP als er sprake is van een inbreuk op de beveiliging, en deze inbreuk leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens

 

 

Ja ik lees wat Lisette schrijft, maar ik geloof liever de wetgever zelf. Ik kan uit de nu gepubliceerde stukken niet opmaken wanneer de wijzigingen in werking treden, behalve dat dit gebeurd op een bij koninklijk besluit te bepalen tijdstip.

 

Maar het is vrijdagmiddag 16.00, dus ik kan iets missen ;)

 

 

 

 

 

 

Wat ik er merkwaardig aan vind: het is geen boete voor het hebben van een datalek, maar voor het niet melden van een datalek. Dat klinkt als een oer-Hollandse gedoogconstructie: data lekken mag, als je het maar meldt…

Dat is het niet. Datalekken kunnen zowel publiek-(stafrechtelijk) als privaatrechtelijk worden aangepakt. Maar dat is niet het onderdeel van deze (aanvullende) Wetgeving: die gaat alleen over het verplicht melden van incidenten.

 

Deze methode is niet nieuw: zo geldt er een wettelijke "meldplicht incidenten met gevaarlijke stoffen" en de kennen telecomaanbieders al de "meldplicht inbreuk bescherming persoonsgegevens" in de Telecomwet

 

 

 

 

 

 

Wellicht lees ik er overheen, maar wanneer gaan de wijzigingen in?

Iemand die het weet, of is het iets voorbarig geweest van Lisette Meij?

Je hebt gelijk, de wijziging is wel vandaag aangekondigd in het Staatsblad, maar er staat:

ARTIKEL V: Deze wet treedt in werking op een bij koninklijk besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan verschillend kan worden vastgesteld.

 

 

Terzijde: wat een absurde tekst staat er bovenaan zo'n Staatsblad artikel:

 

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz. Allen, die deze zullen zien of horen lezen, saluut! doen te weten: Alzo Wij in overweging genomen hebben, dat het noodzakelijk is de Wet bescherming persoonsgegevens en enige andere wetten te wijzigen om een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens in het leven te roepen alsmede om de Wet bescherming persoonsgegevens te wijzigen om een uitbreiding te realiseren van de bevoegdheid van het College bescherming persoonsge- gevens om bij overtreding van het bij of krachtens die wet bepaalde een bestuurlijke boete op te leggen; Zo is het, dat Wij, de Afdeling advisering van de Raad van State gehoord, en met gemeen overleg der Staten-Generaal, hebben goedge- vonden en verstaan, gelijk Wij goedvinden en verstaan bij deze: ARTIKEL I De Wet bescherming persoonsgegevens wordt als volgt gewijzigd:

 

Wat een poppenkast :P

Je hebt gelijk, de wijziging is wel vandaag aangekondigd in het Staatsblad, maar er staat:

ARTIKEL V: Deze wet treedt in werking op een bij koninklijk besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan verschillend kan worden vastgesteld.

Dat las ik inderdaad ook. Nogal een pijnlijke misser van de betreffende juriste.

 

@Norbert, rectificatie dan maar? ;)

 

 

Dat is het niet. Datalekken kunnen zowel publiek-(stafrechtelijk) als privaatrechtelijk worden aangepakt. Maar dat is niet het onderdeel van deze (aanvullende) Wetgeving: die gaat alleen over het verplicht melden van incidenten.

 

Strafrechtelijk is het wel lastig met zo'n meldplicht. Klinkt een beetje als een 'meldplicht winkeldiefstal' waarbij je een boete krijgt als je je niet meldt nadat je wat gejat hebt, maar ook een boete als je je wel meldt gezien dat het opsporingswerk wel heel eenvoudig maakt - catch 22 anyone? ;)

 

 

Terzijde: wat een absurde tekst staat er bovenaan zo'n Staatsblad artikel:

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz. Allen, die deze zullen zien of horen lezen, saluut!

Wat een poppenkast :P

Wees dan nog blij dat ze het hebben afgekort!

 

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, Jonkheer van Amsberg, Graaf van Katzenelnbogen, Graaf van Vianden, Graaf van Diez, Graaf van Spiegelberg, Graaf van Buren, Graaf van Leerdam, Graaf van Culemborg, Markies van Veere en Vlissingen, Baron van Breda, Baron van Diest, Baron van Beilstein, Baron van de stad Grave en het Land van Cuyk, Baron van IJsselstein, Baron van Cranendonk, Baron van Eindhoven, Baron van Liesveld, Erf- en Vrijheer van Ameland, Heer van Borculo, Heer van Bredevoort, Heer van Lichtenvoorde, Heer van 't Loo, Heer van Geertruidenberg, Heer van Klundert, Heer van Zevenbergen, Heer van Hoge en Lage Zwaluwe, Heer van Naaldwijk, Heer van Polanen, Heer van Sint-Maartensdijk, Heer van Soest, Baarn en Ter Eem, Heer van Willemstad, Heer van Steenbergen, Heer van Montfort, Heer van Sankt Vith, Heer van Bütgenbach, Heer van Dasburg en Erf-Burggraaf van Antwerpen. Allen, die deze zullen zien of horen lezen, saluut!

Meh...Wim-Lex was nog korter geweest... ;)

Het artikel lijkt inmiddels door ictprivacy.nl te zijn verwijderd.

 

Verbaasd me eerlijk gezegd dat de informatie hier op HL (nog) niet is aangepast... ???

 

 

 

 

De blogpost kreeg (merkwaardig) een eerdere datum, namelijk 27 mei 2015, en staat nu hier:

 

https://ictprivacyrecht.nl/beveiliging/wetswijziging-meldplicht-datalekken-en-boetebevoegdheid-cbp-daar-is-ie-dan/

De blogpost kreeg (merkwaardig) een eerdere datum, namelijk 27 mei 2015, en staat nu hier:

 

https://ictprivacyrecht.nl/beveiliging/wetswijziging-meldplicht-datalekken-en-boetebevoegdheid-cbp-daar-is-ie-dan/

 

Nee dat is een blog dat ze eerder schreef. Het blog van de 19e verwees er ook naar in de trant van 'onlangs schreef ik nog over...'.

Het artikel lijkt inmiddels door ictprivacy.nl te zijn verwijderd.

Verbaasd me eerlijk gezegd dat de informatie hier op HL (nog) niet is aangepast... ???

...omdat ik met mijn neus in de studieboeken zat voor de geliefde Permanente Educatie ;)

 

Bij deze aangepast. Kennelijk sprak Lisette voor haar beurt. De inwerking treding van de wetswijziging vindt plaats per KB op een nog nader te bepalen moment, naar verwachting uiterlijk 01-01-2016

 

Nota bene: de meldplicht is al lang van kracht, alleen de verhoging van de maximale boete dus nog niet.

 

 

Wanneer de verhoging van die boete ingaat is idd nog niet bekend. Het beste is om deze informatie page van Antwoord van Bedrijven in de gaten te houden. Die pagina wordt namelijk direct up-to-date zodra wetswijziging ingaat.

 

Ingangsdatum idd 1 januari 2016. Zie de pagina waar Mikky naar linkt en http://blog.iusmentis.com/2015/07/23/oh-ja-en-we-krijgen-per-1-januari-een-datalekmeldplicht-en-boetes-op-brakke-beveiligingen/.

Ik wordt geen wijs uit de stukken (ligt aan mij, ik weet het) maar geldt de meldplicht voor de eigenaar van het lek, of ook voor anderen? Dus als ik een lek vind in de site van een bedrijf of overheidsinstantie die gevolgen heeft voor de privacy van personen, maar ik meld dat lek niet, kan ik daar dan last mee krijgen?

maar ik meld dat lek niet, kan ik daar dan last mee krijgen?

Niet op grond van de Wet Meldplicht Datalekken in ieder geval: die meldplicht is voor de bedrijven zelf, m.a.w waar het datalek is geconstateerd.

 

...maar het willens wetens niet melden van een lek waarvan je kunt weten dat het problemen op kan leveren lijkt me sowieso wel een onrechtmatige daad indien er door jou nalaten schade ontstaat die anders voorkomen of beperkt had kunnen worden

 

Artikel [6:]162

1. Hij die jegens een ander een onrechtmatige daad pleegt, welke hem kan worden toegerekend, is verplicht de schade die de ander dientengevolge lijdt, te vergoeden.

2. Als onrechtmatige daad worden aangemerkt een inbreuk op een recht en een doen of nalaten in strijd met een wettelijke plicht of met hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt, een en ander behoudens de aanwezigheid van een rechtvaardigingsgrond.

3. Een onrechtmatige daad kan aan de dader worden toegerekend, indien zij te wijten is aan zijn schuld of aan een oorzaak welke krachtens de wet of de in het verkeer geldende opvattingen voor zijn rekening komt.

Ik wordt geen wijs uit de stukken (ligt aan mij, ik weet het) maar geldt de meldplicht voor de eigenaar van het lek, of ook voor anderen? Dus als ik een lek vind in de site van een bedrijf of overheidsinstantie die gevolgen heeft voor de privacy van personen, maar ik meld dat lek niet, kan ik daar dan last mee krijgen?

Goeie vraag!

Dit geeft al aan dat dit weer net zo'n puinhoop gaat worden als de cookiewet. Zoals altijd is de intentie goed maar de handhaving een rommeltje gaat worden omdat er nog niet goed over de toetsing is nagedacht.

 

Als de grootste bedrijven ter wereld zoals Google en Apple, die honderden experts hiervoor in huis hebben ook datalekken hebben, hoe kun je dan een MKBer gaan bestraffen als er een lek is? Voor mij gaat het om de intentie erachter. Alleen iemand waar je van kunt hardmaken dat ie opzettelijk data heeft misbruikt moet je bestraffen. Als bij mij de intentie goed is maar ik maak een mini foutje in een pagina (vergeet een puntkomma of zo), zou ik dan echt strafbaar zijn? Daar geloof ik niks van.

 

maar ik meld dat lek niet, kan ik daar dan last mee krijgen?

Niet op grond van de Wet Meldplicht Datalekken in ieder geval: die meldplicht is voor de bedrijven zelf, m.a.w waar het datalek is geconstateerd.

 

...maar het willens wetens niet melden van een lek waarvan je kunt weten dat het problemen op kan leveren lijkt me sowieso wel een onrechtmatige daad indien er door jou nalaten schade ontstaat die anders voorkomen of beperkt had kunnen worden

 

De laatste keer dat het ongemoeid laten van een lek geen onrechtmatige daad was, was in de Zutphense waterleidingzaak. Wiki dixit: "Deze beslissing leidde tot grote verontwaardiging en kritiek op de Hoge Raad der Nederlanden en het betreffende wetsartikel. In het arrest Lindenbaum/Cohen (1919) ging de Hoge Raad dan ook 'om'. Hier ging het om bedrijfsspionage: destijds niet specifiek verboden maar wel gezien als onbetamelijk. Het Zutphense Waterleidingarrest en de letterlijke interpretatie van het wetsartikel werden losgelaten en er werd bepaald dat men ook op grond van een ongeschreven rechtsplicht aansprakelijk kan worden gehouden voor schade."

 

In 1992 werd dit een geschreven plicht.

Ik ben voor de zekerheid ook maar in de stukken gedoken. Net als Christine word ik er geen wijs uit, het spijt me. Zo worstel ik met vragen als:

 

1) Wat is nu precies volgens de wet een 'datalek'?

2) Wat is het verschil tussen een datalek en 'lek geprikt worden' door een ander (zoals een hacker)?

3) Als ik een (mogelijk) lek ontdek, zeg maar een 'bugje' uit mijn site haal (wat ik wekelijks doe), moet ik dat melden?

4) Hoe moet ik dat melden, moet ik compleet logboek met wijzigingen in mijn site gaan bijhouden en wekelijks naar de overheid mailen?

5) Is degene die mijn site aanvalt (de hacker) niet de gene die bestraft moet worden?

6) Hoe toon ik juridisch aan dat ik voldoende heb gedaan om mijn site te beveiligen?

7) Als ik een 'lek' op tijd ontdek (en er dus nog niks mis gegaan is) en ik fix het lek, waarom moet ik dat toch melden?

Wat is daar de zin van? Er gaan per dag zo vaak dingen 'bijna mis' die toch nog goed aflopen.

 

Ik wil me echt aan de regels houden maar dit lijkt me gewoon niet werkbaar. Is er iemand hier op HL die voor mij in 'gewone mensen' taal, dus zonder juridische haarkloverij, kan uitleggen wat er van mij als ondernemer verwacht wordt?

...maar het willens wetens niet melden van een lek waarvan je kunt weten dat het problemen op kan leveren lijkt me sowieso wel een onrechtmatige daad indien er door jou nalaten schade ontstaat die anders voorkomen of beperkt had kunnen worden

 

Ik heb slechte ervaringen met het melden van ernstige datalekken bij bedrijven. Volgens het scenario

- je vindt een ernstig lek in de webmail van een provider

- je meldt dat keurig bij die provider

- je krijgt een brief van de advocaat van de provider die je van hacking beschuldigt

 

(gelukkig een minderheid van providers, de meeste sturen een bedankmailtje voor het melden)