Het College Bescherming Persoonsgegevens CPB gaat niet in op de oproep van brancheorganisatie Nederland ICT om bij de invoering van de meldplicht datalekken coulant te zijn. CBP maakte 9 december 2015 de definitieve versie van de beleidsregels bekend.
Volgens Nederland ICT hebben ict-bedrijven te kort de tijd om die regels door te voeren in hun bedrijfsvoering. Volgens de belangenorganisatie is voor ict-bedrijven drie weken te kort om het interne beleid en de contracten met andere bewerkers van persoonsgegevens op de definitieve beleidsregels af te stemmen. Het vindt die termijn veel te krap en rekent op coulance van het CBP in de handhaving van de wet.
Wettekst
In reactie op de bekendmaking van de definitieve beleidsregels schreef de brancheorganisatie op 9 december: ‘De definitieve beleidsregels worden bij publiceren van dit bericht nog door ons bestudeerd. Op basis hiervan zullen we op korte termijn een voorbeeld bewerkersovereenkomst opstellen als handvat voor ict-bedrijven om hun afspraken met klanten op de nieuwe meldplicht te kunnen afstemmen.De branchevereniging laat verder weten dat het de acties van de overheid om de bescherming van persoonsgegevens te verbeteren, steunt en telt dat de meldplicht daar een goed instrument voor kan zijn. ‘Dat vereist wel duidelijke regels en daarmee rechtszekerheid voor bedrijven. De wettekst bood deze duidelijkheid niet, maar zou verder uitgelegd worden in beleidsregels.’
Meldplicht
Alle bedrijven en overheden die persoonsgegevens verwerken op grond van de Wet bescherming persoonsgegevens (Wbp) zijn vanaf 1 januari 2016 verplicht om een ernstig datalek direct te melden aan de Autoriteit Persoonsgegevens, tot die tijd College bescherming persoonsgegevens (CBP) genaamd.De autoriteit kan organisaties een boete geven als zij een datalek ten onrechte niet melden. De maximale boete is 820.000 euro. De beleidsregels zijn te downloaden op de website van het CBP.
Bron: computable.nl
