Er is flink wat kritiek op het wetsvoorstel om bedrijven te verplichten datalekken te melden bij het College bescherming persoonsgegevens (CBP). Zo is het volgens de Raad van State onduidelijk wanneer bedrijven precies melding moeten gaan doen. Staatssecretaris Teeven van Veiligheid en Justitie is het met de kritiek niet eens.
In het bericht ‘Meldplicht bij hack persoonsgegevens’ kon u al lezen dat uw organisatie binnenkort verplicht is om een melding te doen bij een datalek van persoonsgegevens uit uw systemen. Maar de Raad van State vindt het voorstel onduidelijk. U moet bijvoorbeeld niet alleen een melding doen als hackers toegang krijgen tot persoonsgegevens, maar ook als u een USB-stick met persoonsgegevens verliest. Volgens de Raad van State kan het hoge boetebedrag bij niet-melden leiden tot veel overbodige meldingen.
Volgens Teeven zal het zo’n vaart niet lopen. Hij heeft een beslismodel opgesteld waarmee organisaties kunnen bepalen of een melding bij het CPB verplicht is. Dat model bestaat uit de volgende vragen: