34 851 Regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119) (Uitvoeringswet Algemene verordening gegevensbescherming)

Nr. 16 AMENDEMENT VAN DE LEDEN VAN NISPEN EN LEIJTEN

Ontvangen 8 maart 2018

De ondergetekenden stellen het volgende amendement voor:

Artikel 42 vervalt.

Toelichting

Dit amendement regelt dat de uitzondering voor het melden van datalekken aan betrokkenen voor financiële ondernemingen vervalt.

Onder de huidige Wet bescherming persoonsgegevens, te weten in artikel 34a lid 11 Wbp, worden financiële ondernemingen uitgezonderd van de meldingsplicht aan betrokkenen. Deze uitzondering voor financiële ondernemingen als bedoeld in de Wet op het financieel toezicht op het melden van een datalek aan betrokkenen is ook in de Uitvoeringswet Algemene Verordening Gegevensbescherming geregeld, te weten in artikel 42. Uit de geschiedenis van de totstandkoming van deze uitzondering voor datalekken in de financiële sector blijkt dat dergelijke kennisgevingen aan betrokkenen – mede tegen de achtergrond van de financiële crisis – destijds te risicovol werden bevonden om dwingend te worden voorgeschreven. Daarnaast werd er destijds van uitgegaan dat de zorgplicht van een financiële onderneming zou waarborgen dat zij ook zonder dat dit dwingend wordt voorgeschreven haar verantwoordelijkheid jegens haar cliënten in rechtstreeks contact met die cliënten zou nemen.

Indieners vinden deze uitzondering niet langer gerechtvaardigd, omdat de gevolgen van gelekte financiële data voor de privacy van betrokkenen erg groot zijn. Met de PSD2-richtlijn, die ziet op het delen van financiële gegevens, is dit relevanter dan ooit. Bovendien valt niet in te zien waarom het bezwaarlijk zou zijn om te voorzien in een uitdrukkelijke wettelijke waarborg voor betrokkenen door ook voor financiële instellingen de reguliere meldplicht voor datalekken te laten gelden.

Overigens kan ook de ontdekking van een niet-gemeld datalek bij een financiële instelling leiden tot een vermindering van vertrouwen op de financiële markt.

Ook de Autoriteit Persoonsgegevens is van oordeel dat ook klanten van een financiële onderneming op de hoogte moeten worden gebracht van een datalek indien dat waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen met zich kan brengen, conform de hoofdregel van artikel 34, eerste lid, van de Uitvoeringswet AVG.

Van Nispen Leijten

Naar boven