Kritiek op verplichte melding datalek

Er is flink wat kritiek op het wetsvoorstel om bedrijven te verplichten datalekken te melden bij het College bescherming persoonsgegevens (CBP). Zo is het volgens de Raad van State onduidelijk wanneer bedrijven precies melding moeten gaan doen. Staatssecretaris Teeven van Veiligheid en Justitie is het met de kritiek niet eens.

28 juni 2013 | Door redactie

In het bericht ‘Meldplicht bij hack persoonsgegevens’ kon u al lezen dat uw organisatie binnenkort verplicht is om een melding te doen bij een datalek van persoonsgegevens uit uw systemen. Maar de Raad van State vindt het voorstel onduidelijk. U moet bijvoorbeeld niet alleen een melding doen als hackers toegang krijgen tot persoonsgegevens, maar ook als u een USB-stick met persoonsgegevens verliest. Volgens de Raad van State kan het hoge boetebedrag bij niet-melden leiden tot veel overbodige meldingen.

Beslismodel bij verlies gegevens

Volgens Teeven zal het zo’n vaart niet lopen. Hij heeft een beslismodel opgesteld waarmee organisaties kunnen bepalen of een melding bij het CPB verplicht is. Dat model bestaat uit de volgende vragen:

  1. Is er sprake van een inbreuk op de getroffen beveiligingsmaatregelen? Daarbij kan het ook gaan om verlies van een USB-stick of mobiele telefoon.
  2. Zijn er daarbij persoonsgegevens verloren en bestaat er een aanmerkelijke kans dat die gegevens zullen worden misbruikt? Dit kan per geval verschillen en hangt onder meer af van de gevoeligheid van de verloren gegevens.
  3. Leidt het verlies tot mogelijk nadelige gevolgen voor de persoonlijke levenssfeer van de betrokkenen? Interessant hierbij is dat Teeven aangeeft dat een inbreuk op bijvoorbeeld de ledenaministratie van een sportvereniging waarschijnlijk niet zal leiden tot grote nadelige gevolgen. Een melding kan dan achterwege blijven.