Expertises

Praktijkgebieden

Thema's

Regionale focus

Carrière

Internationaal

Kantoren

Internationale praktijkgroepen

Back

Nieuwsoverzicht
16-12-2015

Invoering hogere boetes privacy schendingen en meldplicht datalekken per 1 januari 2016

Eerder dit jaar is een wetsvoorstel aangenomen op grond waarvan de Wet Bescherming Persoonsgegevens ("WBP") per 1 januari 2016 wordt gewijzigd. De wijzigingen betreffen onder meer een substantiële verhoging en uitbreiding van de boetes die voor schendingen van de WBP kunnen worden opgelegd (tot een maximum van EUR 810.000 of 10% van de jaarlijkse (wereldwijde) omzet van een onderneming) en de introductie van de plicht om datalekken aan het College Bescherming Persoonsgegevens (vanaf 1 januari 2016 genaamd: Autoriteit Persoonsgegevens) en de betrokken personen te melden.

Ondernemingen wordt geadviseerd om vooruitlopend op de verhoging van de boetes en de invoering van de meldplicht voor datalekken na te gaan of zij compliant zijn met de privacyregelgeving.

Verhoging van de boetes

De WBP is van toepassing op persoonsgegevens, waaronder wordt verstaan alle informatie betreffende een geïdentificeerde of identificeerbare (natuurlijke) persoon. De WBP bevat verschillende regelingen met betrekking tot persoonsgegevens, waaronder (onder meer):

  • vereisten met betrekking tot de gronden voor het verzamelen en verwerken van persoonsgegevens;
  • een verplichting om iedere verwerking van persoonsgegevens bij de Autoriteit Persoonsgegevens te melden (met uitzondering van bepaalde vrijgestelde verwerkingen);
  • bepaalde regelingen met betrekking tot de informatierechten van betrokkenen en het recht van betrokkenen om een kopie te ontvangen van hun persoonsgegevens en/of verbetering van deze gegevens te verlangen;
  • beperkingen met betrekking tot de verwerking van bijzondere persoonsgegevens (bijvoorbeeld medische gegevens, Burger Service Nummers en gegevens met betrekking tot religie en ras);
  • regels met betrekking tot het uitbesteden/outsourcen van de verwerking van persoonsgegevens; en
  • regels met betrekking tot de export van persoonsgegevens naar landen buiten de Europese Unie.

De WBP is ook van toepassing op de intra-groep verstrekking en verwerking van persoonsgegevens (bijvoorbeeld voor centrale salarisadministratie en/of groep brede CRM-systemen).

Op dit moment heeft het College Bescherming Persoonsgegevens in geval van overtreding van een beperkt aantal bepalingen van de WBP de bevoegdheid om relatief beperkte boetes (tot EUR 4.500) en/of een last onder dwangsom op te leggen.

Vanaf 1 januari 2016 worden de bevoegdheden van de Autoriteit Persoonsgegevens uitgebreid. Zij is dan bevoegd om boetes op te leggen tot een bedrag van EUR 810.000 of 10% van de jaarlijkse wereldwijde omzet van een onderneming. Ook wordt het aantal overtredingen van de WBP waarvoor een boete kan worden opgelegd uitgebreid. Overigens zal de Autoriteit Persoonsgegevens (behoudens gevallen van grove nalatigheid of opzet) alleen een boete opleggen nadat zij een bindende instructie heeft gegeven die niet (of niet tijdig of volledig) is opgevolgd door de onderneming.

Overigens voorziet de WBP, naast de boetebevoegdheid van de Autoriteit Persoonsgegevens, ook in de mogelijkheid tot het instellen van civiele acties door betrokkenen en bepaalde strafrechtelijke sancties.

Meldplicht datalekken

Vanaf 1 januari 2016 hebben ondernemingen de plicht om de Autoriteit Persoonsgegevens direct op de hoogte te stellen van een datalek dat leidt tot de aanzienlijke kans op ernstige nadelige gevolgen (of ernstige nadelige gevolgen heeft) voor de bescherming van persoonsgegevens. Er kan sprake zijn van een datalek indien wordt ingebroken op de computersystemen van een onderneming, maar bijvoorbeeld ook indien bijvoorbeeld een laptop of USB-stick met persoonsgegevens wordt gestolen. Onder bepaalde omstandigheden dienen ondernemingen ook de betrokken personen te informeren.

Iedere overtreding van de hiervoor genoemde meldplicht kan resulteren in een boete van EUR 810.000 of 10% van de jaarlijkse wereldwijde omzet van de onderneming.

Compliance met de WBP

Ondernemingen wordt geadviseerd om na te gaan of zij compliant zijn met de vereisten van de WBP, zeker in het licht van de substantieel verhoogde boetes. Onder meer is aandacht vereist voor intra-groep verwerking van persoonsgegevens en outsourcing van de verwerking van persoonsgegevens (bijvoorbeeld in verband met SaaS diensten of clouddiensten). Daarnaast dienen bestaande bewerkersovereenkomsten te worden gewijzigd in verband met de meldplicht datalekken.

Indien u vragen heeft over privacy en/of verwerking van persoonsgegevens of nadere toelichting wenst, aarzel dan niet om contact met ons op te nemen.

Key contacts

Philip ter Burg

Partner | Advocaat
Stuur mij een e-mail
+31 (0)70 318 4828

Key contacts

Philip ter Burg

Partner | Advocaat
Stuur mij een e-mail
+31 (0)70 318 4828

Gerelateerd nieuws

10-04-2024

Strategische stap: BUREN verhuist Haagse vestiging naar 'De Haagsche Zwaan'

Den Haag, 8 april 2024 – BUREN kondigt met trots aan dat het vanaf 1 juli 2024 haar intrek zal nemen in een nieuwe kantoorruimte in het iconische gebouw meer …
08-03-2022

BUREN's statement over de Russische invasie in Oekraïne

Wij zijn diep geschokt door de brute en gewelddadige aanval van de Russische Federatie op de soevereiniteit van Oekraïne en het menselijk leed meer …
16-03-2020

BUREN | Genomen COVID-19 maatregelen

In verband met de ontwikkelingen omtrent het COVID-19 / Coronavirus heeft BUREN passende maatregelen genomen om de continuïteit en kwaliteit van onze dienstverlening te waarborgen meer …
14-02-2019

Hoe bescherm ik mijn bedrijfsgeheimen? Een checklist voor in-house counsel

De Wet bescherming bedrijfsgeheimen ("WBB") is op 23 oktober 2018 in werking getreden. De komst van de WBB meer …
Meer nieuws

Nieuwsoverzicht