33 662 Wijziging van de Wet bescherming persoonsgegevens en enige andere wetten in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens alsmede uitbreiding van de bevoegdheid van het College bescherming persoonsgegevens om bij overtreding van het bepaalde bij of krachtens de Wet bescherming persoonsgegevens een bestuurlijke boete op te leggen (meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp)

Nr. 12 AMENDEMENT VAN DE LEDEN SCHOUW EN OOSENBRUG

Ontvangen 29 januari 2015

De ondergetekenden stellen het volgende amendement voor:

I

In artikel I wordt onderdeel A als volgt gewijzigd:

1. In onderdeel 1 wordt «die ernstige nadelige gevolgen heeft voor de bescherming van de persoonsgegevens» vervangen door: waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens.

2. In onderdeel 2 wordt «die ernstige nadelige gevolgen heeft voor de bescherming van de persoonsgegevens» vervangen door: waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens.

3. In onderdeel 4 wordt «die ernstige nadelige gevolgen heeft voor de bescherming van de persoonsgegevens» vervangen door: waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens.

II

In artikel I, onderdeel B, onder 2, wordt artikel 34a als volgt gewijzigd:

1. In het eerste lid wordt «die ernstige nadelige gevolgen heeft voor de bescherming van de verwerkte persoonsgegevens» vervangen door: waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens die door hem worden verwerkt.

2. In het vierde lid wordt «de gevolgen van de inbreuk voor de verwerkte persoonsgegevens» vervangen door: de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens.

3. Het zesde lid komt te luiden:

  • 6. De kennisgeving aan de betrokkene is niet vereist indien de verantwoordelijke gepaste technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft versleuteld zijn of anderszins onbegrijpelijk zijn gemaakt voor eenieder die geen recht heeft op kennisname van de gegevens.

4. Het achtste lid komt te luiden:

  • 8. De verantwoordelijke houdt een overzicht bij van alle inbreuken op de beveiliging, bedoeld in het eerste lid. Het overzicht bevat in ieder geval feiten en gegevens omtrent de aard van de inbreuk, bedoeld in het derde lid, alsmede de tekst van de kennisgeving aan de betrokkene.

Toelichting

De indieners zijn van mening dat in een tijdperk van sterk toenemende gegevensverzameling, de meldplicht datalekken een belangrijke toevoeging is aan de mogelijkheden om persoonsgegevens te beschermen.

Bovendien draagt de meldplicht bij aan een sterkere positie van burgers in de bescherming van hun persoonsgegevens.

Indieners zijn van mening dat de meldplicht alleen een belangrijke toevoeging aan de bescherming van persoonsgegevens biedt indien datalekken niet slechts worden gemeld in die gevallen waarbij reeds sprake is geweest van ernstige nadelige gevolgen. De toezichthouder, het College bescherming persoonsgegevens, moet ook kunnen optreden indien de aanmerkelijke kans bestaat op negatieve gevolgen.

Versleutelde bestanden met persoonsgegevens die worden ontvreemd hoeven niet aan de betrokkene gemeld te worden aangezien ongunstige gevolgen niet direct waarschijnlijk zijn. Niettemin vinden de indieners dat in geval van een ontvreemding van een dergelijk bestand, melding bij het College bescherming Persoonsgegevens wel gewenst is. Bestanden die nu nog voldoende beveiligd lijken kunnen mogelijk met nieuwe technieken alsnog gedecodeerd worden. Dat kan betekenen dat een risico zich op enig moment alsnog kan voordoen en daar dient het College bescherming Persoonsgegevens van op de hoogte te zijn. Zodoende zijn de indieners van mening dat het zesde lid niet geherformuleerd dient te worden zoals de regering voorstelt bij nota van wijziging, maar gehandhaafd dient te blijven zoals oorspronkelijk door de regering voorgesteld. Zodoende dient de melding aan het College bescherming Persoonsgegevens plaats te vinden, óók als de verantwoordelijke gepaste technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft versleuteld zijn of anderszins onbegrijpelijk zijn gemaakt voor eenieder die geen recht heeft op kennisname van de gegevens.

Het oorspronkelijk voorgestelde achtste lid van artikel 34a, waarin een zelfstandige verplichting wordt opgelegd om intern binnen de organisatie een overzicht bij te houden van alle inbreuken met de aanmerkelijke kans op nadelige gevolgen voor persoonsgegevens, dient te worden gehandhaafd

Kortom, de indieners vinden dat de wettelijke drempel voor het melden van inbreuken niet verhoogd moet worden zoals door de regering in de nota van wijziging (Kamerstukken II, 2013/14, 33 662, nr. 6) voorgesteld. Het College bescherming Persoonsgegevens dient een goed beeld te hebben van inbreuken met een aanmerkelijke kans op nadelige gevolgen voor de privacy zodat privacy risico’s tijdig kunnen worden afgewend dan wel verminderd.Onderhavig amendement herstelt zodoende de reikwijdte van de meldplicht zoals neergelegd in artikel 34a, eerste, vierde en zesde lid van de Wet bescherming persoonsgegevens naar de staat zoals was neergelegd in het oorspronkelijke wetsvoorstel.

Schouw Oosenbrug

Naar boven