12 september 2013

Nederland ICT: regel meldplicht datalekken Europees

PRIVACY, VERTROUWEN

Meldplicht Europees regelen

Nederland ICT is van mening dat bedrijven en organisaties die persoonsgegevens beheren transparant moeten zijn over hoe zij met deze informatie omgaan, ook wanneer het misgaat. Een Nederlandse meldplicht datalekken zal echter zorgen voor meer versnipperde regelgeving en een hogere lastendrk.

In Brussel wordt gewerkt aan een nieuwe Verordening voor gegevensbescherming, waar ook een meldplicht datalekken in is opgenomen. Met het oog op het grensoverschrijdende karakter van ICT-diensten en de ambitie van een interne digitale markt is harmonisatie van privacyregels gewenst. Nederland ICT wil daarom dat Nederland voor één enkele meldplicht datalekken gaat middels de aankomende Europese Verordening.

Hoge lastendruk, zelfs wanneer melden niet nodig is

Als de meldplichten datalekken volgens het wetsvoorstel wordt ingesteld, moeten bedrijven en organisaties die verantwoordelijk zijn voor persoonsgegevens (bijvoorbeeld van klanten, burgers of patiënten) melding maken bij het College Bescherming Persoonsgegevens (CBP) wanneer gegevens uitlekken. Als er een grote impact is op de privacy van betrokkenen, dan moeten ook deze ingelicht worden. Dit hoeft overigens niet als de gegevens voldoende beveiligd zijn, bijvoorbeeld met encryptie.

Wanneer een incident niet ernstig genoeg is om meldenswaardig te zijn, moeten bedrijven deze onder een protocolplicht bijhouden in hun eigen administratie. Door het verplicht bijhouden van een dergelijk register van kleine incidenten zullen de nalevingskosten van de meldplicht vijf tot tien keer hoger uitvallen.
ICT-bedrijven zijn vaak niet direct verantwoordelijk voor persoonsgegevens, maar bewerken deze in opdracht van andere bedrijven. Bewerkers hoeven incidenten niet zelf te melden aan het CBP, maar zijn wel verplicht opdrachtgevers van alle benodigde informatie te voorzien.