Jump to content
  • Wetswijzing meldplicht datalekken en verhoging boetes per 01-2016


    Norbert Bakker

    Mod edit: titel aangepast nu - anno 2016 - er na invoering van de wetswijziging opnieuw behoefte tot discussie bestaat

     

    Wetswijzing meldplicht datalekken en boetebevoegdheid CBP in werking

     

    Korte samenvatting:

    de aangenomen wetswijziging ‘Meldplicht van datalekken en uitbreiding bestuurlijke boetebevoegdheid College Bescherming Persoonsgegevens (CBP)" is sneller dan verwacht vandaag gepubliceerd en in werking getreden

     

    Vanaf vandaag Edit: vanaf het moment van in werking treden van deze wet per koninklijk besluit moet een datalek gemeld worden bij het CBP als er sprake is van een inbreuk op de beveiliging, en deze inbreuk leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Daar komt bij dat je een datalek niet alleen moet melden bij het CBP, maar óók bij de betrokkenen indien het lek nadelige gevolgen kan hebben voor de persoonlijke levenssfeer van de betrokkenen.

     

    Meld je een datalek toch niet dan kan het CBP een boete opleggen.

     

    Waarom vind je dit interessant of wil je dit delen?:

    De maximale boete is edit: wordt bij inwerkingtreding verhoogd van € 4.500,- naar € 810.000,-.

     

    Om het met de woorden van auteur Lisette Meij van ICTPrivacyrecht te zeggen : "Dat is andere koek"!

     

     




    User Feedback

    Recommended Comments



    Waarom vind je dit interessant of wil je dit delen?:

    De maximale boete is verhoogd van € 4.500,- naar € 810.000,-.

    Om het met de woorden van auteur Lisette Meij van ICTPrivacyrecht te zeggen : "Dat is andere koek"!

    Vind je dat Higherlevel.nl zelf zich iets aan deze wet gelegen zou moeten laten liggen?

    Share this comment


    Link to comment
    Share on other sites

    Moeilijk om hier iets op te zeggen zonder op iemands tenen te gaan staan.

     

    Ik denk dat niemand tegen het goed beschermen van gegevens en privacy is. Maar als de overheid er in de handhaving net zo'n puinhoop van maakt als werkelijk alle ICT projecten die ik ken van de overheid (OV, Politie, UWV, SVB, EPD, Diginotar, werk.nl, enzovoorts, enzovoorts) dan weet ik al weer waar dit naar toe gaat.

     

    Hoewel ze niet helemaal te vergelijken zijn zet ik toch twee recente onderwerpen naast elkaar:

    Het gedrocht Cookiewet (met handhaving door de overheid) en de Social media code die de branche zelf heeft ingesteld (mede na de cookie ramp). De tweede werkt aardig, de eerste mag je zelf invullen.

     

    Praktisch gezien zou ik zeggen; Hou je zaken op orde, maar ga niet je site omgooien uit angst voor een boete. Meestal wordt de soep niet zo heet gegeten. Gewoon de waarschuwingen afwachten en kijken wie er als eerste écht een boete krijgt. Dan weet je meteen waar de grens ligt.

    Share this comment


    Link to comment
    Share on other sites

    Wat ik er merkwaardig aan vind: het is geen boete voor het hebben van een datalek, maar voor het niet melden van een datalek. Dat klinkt als een oer-Hollandse gedoogconstructie: data lekken mag, als je het maar meldt…

    Share this comment


    Link to comment
    Share on other sites

    Wellicht lees ik er overheen, maar wanneer gaan de wijzigingen in?

    Per direct :)

    Vanaf vandaag moet een datalek gemeld worden bij het CBP als er sprake is van een inbreuk op de beveiliging, en deze inbreuk leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens

     

    Share this comment


    Link to comment
    Share on other sites

    Wellicht lees ik er overheen, maar wanneer gaan de wijzigingen in?

    Per direct :)

    Vanaf vandaag moet een datalek gemeld worden bij het CBP als er sprake is van een inbreuk op de beveiliging, en deze inbreuk leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens

     

     

    Ja ik lees wat Lisette schrijft, maar ik geloof liever de wetgever zelf. Ik kan uit de nu gepubliceerde stukken niet opmaken wanneer de wijzigingen in werking treden, behalve dat dit gebeurd op een bij koninklijk besluit te bepalen tijdstip.

     

    Maar het is vrijdagmiddag 16.00, dus ik kan iets missen ;)

     

     

     

     

     

     

    Share this comment


    Link to comment
    Share on other sites

    Wat ik er merkwaardig aan vind: het is geen boete voor het hebben van een datalek, maar voor het niet melden van een datalek. Dat klinkt als een oer-Hollandse gedoogconstructie: data lekken mag, als je het maar meldt…

    Dat is het niet. Datalekken kunnen zowel publiek-(stafrechtelijk) als privaatrechtelijk worden aangepakt. Maar dat is niet het onderdeel van deze (aanvullende) Wetgeving: die gaat alleen over het verplicht melden van incidenten.

     

    Deze methode is niet nieuw: zo geldt er een wettelijke "meldplicht incidenten met gevaarlijke stoffen" en de kennen telecomaanbieders al de "meldplicht inbreuk bescherming persoonsgegevens" in de Telecomwet

     

     

     

     

     

     

    Share this comment


    Link to comment
    Share on other sites

    Wellicht lees ik er overheen, maar wanneer gaan de wijzigingen in?

    Iemand die het weet, of is het iets voorbarig geweest van Lisette Meij?

    Share this comment


    Link to comment
    Share on other sites

    Je hebt gelijk, de wijziging is wel vandaag aangekondigd in het Staatsblad, maar er staat:

    ARTIKEL V: Deze wet treedt in werking op een bij koninklijk besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan verschillend kan worden vastgesteld.

     

     

    Terzijde: wat een absurde tekst staat er bovenaan zo'n Staatsblad artikel:

     

    Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz. Allen, die deze zullen zien of horen lezen, saluut! doen te weten: Alzo Wij in overweging genomen hebben, dat het noodzakelijk is de Wet bescherming persoonsgegevens en enige andere wetten te wijzigen om een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens in het leven te roepen alsmede om de Wet bescherming persoonsgegevens te wijzigen om een uitbreiding te realiseren van de bevoegdheid van het College bescherming persoonsge- gevens om bij overtreding van het bij of krachtens die wet bepaalde een bestuurlijke boete op te leggen; Zo is het, dat Wij, de Afdeling advisering van de Raad van State gehoord, en met gemeen overleg der Staten-Generaal, hebben goedge- vonden en verstaan, gelijk Wij goedvinden en verstaan bij deze: ARTIKEL I De Wet bescherming persoonsgegevens wordt als volgt gewijzigd:

     

    Wat een poppenkast :P

    Share this comment


    Link to comment
    Share on other sites

    Je hebt gelijk, de wijziging is wel vandaag aangekondigd in het Staatsblad, maar er staat:

    ARTIKEL V: Deze wet treedt in werking op een bij koninklijk besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan verschillend kan worden vastgesteld.

    Dat las ik inderdaad ook. Nogal een pijnlijke misser van de betreffende juriste.

     

    @Norbert, rectificatie dan maar? ;)

     

     

    Share this comment


    Link to comment
    Share on other sites

    Dat is het niet. Datalekken kunnen zowel publiek-(stafrechtelijk) als privaatrechtelijk worden aangepakt. Maar dat is niet het onderdeel van deze (aanvullende) Wetgeving: die gaat alleen over het verplicht melden van incidenten.

     

    Strafrechtelijk is het wel lastig met zo'n meldplicht. Klinkt een beetje als een 'meldplicht winkeldiefstal' waarbij je een boete krijgt als je je niet meldt nadat je wat gejat hebt, maar ook een boete als je je wel meldt gezien dat het opsporingswerk wel heel eenvoudig maakt - catch 22 anyone? ;)

     

     

    Share this comment


    Link to comment
    Share on other sites

    Terzijde: wat een absurde tekst staat er bovenaan zo'n Staatsblad artikel:

    Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz. Allen, die deze zullen zien of horen lezen, saluut!

    Wat een poppenkast :P

    Wees dan nog blij dat ze het hebben afgekort!

     

    Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, Jonkheer van Amsberg, Graaf van Katzenelnbogen, Graaf van Vianden, Graaf van Diez, Graaf van Spiegelberg, Graaf van Buren, Graaf van Leerdam, Graaf van Culemborg, Markies van Veere en Vlissingen, Baron van Breda, Baron van Diest, Baron van Beilstein, Baron van de stad Grave en het Land van Cuyk, Baron van IJsselstein, Baron van Cranendonk, Baron van Eindhoven, Baron van Liesveld, Erf- en Vrijheer van Ameland, Heer van Borculo, Heer van Bredevoort, Heer van Lichtenvoorde, Heer van 't Loo, Heer van Geertruidenberg, Heer van Klundert, Heer van Zevenbergen, Heer van Hoge en Lage Zwaluwe, Heer van Naaldwijk, Heer van Polanen, Heer van Sint-Maartensdijk, Heer van Soest, Baarn en Ter Eem, Heer van Willemstad, Heer van Steenbergen, Heer van Montfort, Heer van Sankt Vith, Heer van Bütgenbach, Heer van Dasburg en Erf-Burggraaf van Antwerpen. Allen, die deze zullen zien of horen lezen, saluut!

    Share this comment


    Link to comment
    Share on other sites

    Het artikel lijkt inmiddels door ictprivacy.nl te zijn verwijderd.

     

    Verbaasd me eerlijk gezegd dat de informatie hier op HL (nog) niet is aangepast... ???

     

     

     

     

    Share this comment


    Link to comment
    Share on other sites

    Het artikel lijkt inmiddels door ictprivacy.nl te zijn verwijderd.

    Verbaasd me eerlijk gezegd dat de informatie hier op HL (nog) niet is aangepast... ???

    ...omdat ik met mijn neus in de studieboeken zat voor de geliefde Permanente Educatie ;)

     

    Bij deze aangepast. Kennelijk sprak Lisette voor haar beurt. De inwerking treding van de wetswijziging vindt plaats per KB op een nog nader te bepalen moment, naar verwachting uiterlijk 01-01-2016

     

    Nota bene: de meldplicht is al lang van kracht, alleen de verhoging van de maximale boete dus nog niet.

     

     

    Share this comment


    Link to comment
    Share on other sites

    Wanneer de verhoging van die boete ingaat is idd nog niet bekend. Het beste is om deze informatie page van Antwoord van Bedrijven in de gaten te houden. Die pagina wordt namelijk direct up-to-date zodra wetswijziging ingaat.

     

    Share this comment


    Link to comment
    Share on other sites

    Ik wordt geen wijs uit de stukken (ligt aan mij, ik weet het) maar geldt de meldplicht voor de eigenaar van het lek, of ook voor anderen? Dus als ik een lek vind in de site van een bedrijf of overheidsinstantie die gevolgen heeft voor de privacy van personen, maar ik meld dat lek niet, kan ik daar dan last mee krijgen?

    Share this comment


    Link to comment
    Share on other sites
    maar ik meld dat lek niet, kan ik daar dan last mee krijgen?

    Niet op grond van de Wet Meldplicht Datalekken in ieder geval: die meldplicht is voor de bedrijven zelf, m.a.w waar het datalek is geconstateerd.

     

    ...maar het willens wetens niet melden van een lek waarvan je kunt weten dat het problemen op kan leveren lijkt me sowieso wel een onrechtmatige daad indien er door jou nalaten schade ontstaat die anders voorkomen of beperkt had kunnen worden

     

    Artikel [6:]162

    1. Hij die jegens een ander een onrechtmatige daad pleegt, welke hem kan worden toegerekend, is verplicht de schade die de ander dientengevolge lijdt, te vergoeden.

    2. Als onrechtmatige daad worden aangemerkt een inbreuk op een recht en een doen of nalaten in strijd met een wettelijke plicht of met hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt, een en ander behoudens de aanwezigheid van een rechtvaardigingsgrond.

    3. Een onrechtmatige daad kan aan de dader worden toegerekend, indien zij te wijten is aan zijn schuld of aan een oorzaak welke krachtens de wet of de in het verkeer geldende opvattingen voor zijn rekening komt.

    Share this comment


    Link to comment
    Share on other sites

    Ik wordt geen wijs uit de stukken (ligt aan mij, ik weet het) maar geldt de meldplicht voor de eigenaar van het lek, of ook voor anderen? Dus als ik een lek vind in de site van een bedrijf of overheidsinstantie die gevolgen heeft voor de privacy van personen, maar ik meld dat lek niet, kan ik daar dan last mee krijgen?

    Goeie vraag!

    Dit geeft al aan dat dit weer net zo'n puinhoop gaat worden als de cookiewet. Zoals altijd is de intentie goed maar de handhaving een rommeltje gaat worden omdat er nog niet goed over de toetsing is nagedacht.

     

    Als de grootste bedrijven ter wereld zoals Google en Apple, die honderden experts hiervoor in huis hebben ook datalekken hebben, hoe kun je dan een MKBer gaan bestraffen als er een lek is? Voor mij gaat het om de intentie erachter. Alleen iemand waar je van kunt hardmaken dat ie opzettelijk data heeft misbruikt moet je bestraffen. Als bij mij de intentie goed is maar ik maak een mini foutje in een pagina (vergeet een puntkomma of zo), zou ik dan echt strafbaar zijn? Daar geloof ik niks van.

     

    Share this comment


    Link to comment
    Share on other sites

    maar ik meld dat lek niet, kan ik daar dan last mee krijgen?

    Niet op grond van de Wet Meldplicht Datalekken in ieder geval: die meldplicht is voor de bedrijven zelf, m.a.w waar het datalek is geconstateerd.

     

    ...maar het willens wetens niet melden van een lek waarvan je kunt weten dat het problemen op kan leveren lijkt me sowieso wel een onrechtmatige daad indien er door jou nalaten schade ontstaat die anders voorkomen of beperkt had kunnen worden

     

    De laatste keer dat het ongemoeid laten van een lek geen onrechtmatige daad was, was in de Zutphense waterleidingzaak. Wiki dixit: "Deze beslissing leidde tot grote verontwaardiging en kritiek op de Hoge Raad der Nederlanden en het betreffende wetsartikel. In het arrest Lindenbaum/Cohen (1919) ging de Hoge Raad dan ook 'om'. Hier ging het om bedrijfsspionage: destijds niet specifiek verboden maar wel gezien als onbetamelijk. Het Zutphense Waterleidingarrest en de letterlijke interpretatie van het wetsartikel werden losgelaten en er werd bepaald dat men ook op grond van een ongeschreven rechtsplicht aansprakelijk kan worden gehouden voor schade."

     

    In 1992 werd dit een geschreven plicht.

    Share this comment


    Link to comment
    Share on other sites

    Ik ben voor de zekerheid ook maar in de stukken gedoken. Net als Christine word ik er geen wijs uit, het spijt me. Zo worstel ik met vragen als:

     

    1) Wat is nu precies volgens de wet een 'datalek'?

    2) Wat is het verschil tussen een datalek en 'lek geprikt worden' door een ander (zoals een hacker)?

    3) Als ik een (mogelijk) lek ontdek, zeg maar een 'bugje' uit mijn site haal (wat ik wekelijks doe), moet ik dat melden?

    4) Hoe moet ik dat melden, moet ik compleet logboek met wijzigingen in mijn site gaan bijhouden en wekelijks naar de overheid mailen?

    5) Is degene die mijn site aanvalt (de hacker) niet de gene die bestraft moet worden?

    6) Hoe toon ik juridisch aan dat ik voldoende heb gedaan om mijn site te beveiligen?

    7) Als ik een 'lek' op tijd ontdek (en er dus nog niks mis gegaan is) en ik fix het lek, waarom moet ik dat toch melden?

    Wat is daar de zin van? Er gaan per dag zo vaak dingen 'bijna mis' die toch nog goed aflopen.

     

    Ik wil me echt aan de regels houden maar dit lijkt me gewoon niet werkbaar. Is er iemand hier op HL die voor mij in 'gewone mensen' taal, dus zonder juridische haarkloverij, kan uitleggen wat er van mij als ondernemer verwacht wordt?

    Share this comment


    Link to comment
    Share on other sites

    ...maar het willens wetens niet melden van een lek waarvan je kunt weten dat het problemen op kan leveren lijkt me sowieso wel een onrechtmatige daad indien er door jou nalaten schade ontstaat die anders voorkomen of beperkt had kunnen worden

     

    Ik heb slechte ervaringen met het melden van ernstige datalekken bij bedrijven. Volgens het scenario

    - je vindt een ernstig lek in de webmail van een provider

    - je meldt dat keurig bij die provider

    - je krijgt een brief van de advocaat van de provider die je van hacking beschuldigt

     

    (gelukkig een minderheid van providers, de meeste sturen een bedankmailtje voor het melden)

     

     

    Share this comment


    Link to comment
    Share on other sites



    Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.

    Guest
    Add a comment...

    ×   Pasted as rich text.   Restore formatting

      Only 75 emoji are allowed.

    ×   Your link has been automatically embedded.   Display as a link instead

    ×   Your previous content has been restored.   Clear editor

    ×   You cannot paste images directly. Upload or insert images from URL.


  • Bring your business plan to a higher level!

    On this forum all subjects are discussed related to entrepreneurship.

    Growing together with other entrepreneurs

    ✓     Ask your entrepreneur questions

    ✓     Share your answers

    ✓     Low profile

    ✓     Transparant

    ✓     At your convenience

    ✓     Always based on relevance, substance and expertise

×

Cookies on HigherLevel.nl

Cookies are necessary for Higherlevel.nl to function properly. By using HigherLevel.nl you declare to have read and accepted our terms and conditions.

 More information   I accept