Nieuwsbrief zorg juli 2015
Op 26 mei jl. is de Wet meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp aangenomen door de Eerste Kamer. Met deze wet, die onder meer de Wet bescherming persoonsgegevens wijzigt, wordt beoogd datalekken als gevolg van doorbrekingen van beveiligingsmaatregelen te voorkomen, of de consequenties daarvan voor betrokkenen zoveel mogelijk te beperken. Voor organisaties die actief zijn binnen de zorgsector is het van belang goed in kaart te hebben waartoe de verplichtingen en verantwoordelijkheden strekken.
De wetswijziging voorziet in een plicht tot het melden aan het College bescherming persoonsgegevens (CBP) van (i) inbreuken op de beveiliging, die (ii) leiden tot een aanzienlijke kans op ernstige nadelige gevolgen danwel resulteren in ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Daarnaast bestaat een meldplicht aan de betrokkenen indien de persoonsgegevens die zijn gelekt niet versleuteld zijn en redelijkerwijs nadelige gevolgen te verwachten zijn voor de persoonlijke levenssfeer. In beginsel is voor het doen van de melding(en) naar verwachting slechts 24 uur de tijd. Spoed is dan ook geboden, te meer omdat aan het CBP een bevoegdheid is toegekend tot het opleggen van stevige bestuurlijke boetes bij nalatigheid. Deze kunnen oplopen tot maximaal €810.000 of , indien deze hoogste boetecategorie geen passende bestraffing toelaat, een bestuurlijke boete tot ten hoogste tien procent van de jaaromzet. Wel wordt eerst een bindende aanwijzing door het CBP gegeven, tenzij het niet-naleven van de meldplicht opzettelijk is gebeurd.
De genoemde hogere boetes kunnen bij inwerkingtreding van de wet ook in andere gevallen worden opgelegd. Dit geldt bijvoorbeeld voor overtreding van het geclausuleerde verbod uit de Wbp tot verwerking van bijzondere (onder andere medische) persoonsgegevens en BSN nummers (art. 16 en 24) en het niet voldoen aan informatieverplichtingen aan betrokkenen (art, 33, 34 lid 1 t/m 3 van het voorstel);
Overtreding van de voorwaarden voor verwerking van persoonsgegevens in het algemeen (de artikelen 6 tot en met 13 van de wet, behalve art. 9 lid 2 en 3 en art. 10 lid 2) inzake bijvoorbeeld het hebben van een grondslag en de plicht tot beveiliging. Opvallend is dat op overtreding van artikel 14 van dit hoofdstuk van de wet, die de relatie tussen de verantwoordelijke en de bewerker regelt, geen boete is gesteld.
Dit biedt een substantiële dreiging. Van zorginstellingen zal verwacht worden dat zij voorbereid zijn en snel kunnen handelen.
Het CBP komt de bevoegdheid toe om vanuit het belang van efficiënt toezicht samenwerkingsprotocollen vast te stellen. Met de Nederlandse Zorgautoriteit (NZa) bestaat een dergelijk protocol reeds, waardoor wat het toezicht betreft geen grote veranderingen te verwachten zijn.
De meldplicht datalekken zal naar verwachting vanaf januari 2016 van kracht zijn.
Nieuwsbrief zorg juli 2015
Op 26 mei jl. is de Wet meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp aangenomen door de Eerste Kamer. Met deze wet, die onder meer de Wet bescherming persoonsgegevens wijzigt, wordt beoogd datalekken als gevolg van doorbrekingen van beveiligingsmaatregelen te voorkomen, of de consequenties daarvan voor betrokkenen zoveel mogelijk te beperken. Voor organisaties die actief zijn binnen de zorgsector is het van belang goed in kaart te hebben waartoe de verplichtingen en verantwoordelijkheden strekken.
De wetswijziging voorziet in een plicht tot het melden aan het College bescherming persoonsgegevens (CBP) van (i) inbreuken op de beveiliging, die (ii) leiden tot een aanzienlijke kans op ernstige nadelige gevolgen danwel resulteren in ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Daarnaast bestaat een meldplicht aan de betrokkenen indien de persoonsgegevens die zijn gelekt niet versleuteld zijn en redelijkerwijs nadelige gevolgen te verwachten zijn voor de persoonlijke levenssfeer. In beginsel is voor het doen van de melding(en) naar verwachting slechts 24 uur de tijd. Spoed is dan ook geboden, te meer omdat aan het CBP een bevoegdheid is toegekend tot het opleggen van stevige bestuurlijke boetes bij nalatigheid. Deze kunnen oplopen tot maximaal €810.000 of , indien deze hoogste boetecategorie geen passende bestraffing toelaat, een bestuurlijke boete tot ten hoogste tien procent van de jaaromzet. Wel wordt eerst een bindende aanwijzing door het CBP gegeven, tenzij het niet-naleven van de meldplicht opzettelijk is gebeurd.
De genoemde hogere boetes kunnen bij inwerkingtreding van de wet ook in andere gevallen worden opgelegd. Dit geldt bijvoorbeeld voor overtreding van het geclausuleerde verbod uit de Wbp tot verwerking van bijzondere (onder andere medische) persoonsgegevens en BSN nummers (art. 16 en 24) en het niet voldoen aan informatieverplichtingen aan betrokkenen (art, 33, 34 lid 1 t/m 3 van het voorstel);
Overtreding van de voorwaarden voor verwerking van persoonsgegevens in het algemeen (de artikelen 6 tot en met 13 van de wet, behalve art. 9 lid 2 en 3 en art. 10 lid 2) inzake bijvoorbeeld het hebben van een grondslag en de plicht tot beveiliging. Opvallend is dat op overtreding van artikel 14 van dit hoofdstuk van de wet, die de relatie tussen de verantwoordelijke en de bewerker regelt, geen boete is gesteld.
Dit biedt een substantiële dreiging. Van zorginstellingen zal verwacht worden dat zij voorbereid zijn en snel kunnen handelen.
Het CBP komt de bevoegdheid toe om vanuit het belang van efficiënt toezicht samenwerkingsprotocollen vast te stellen. Met de Nederlandse Zorgautoriteit (NZa) bestaat een dergelijk protocol reeds, waardoor wat het toezicht betreft geen grote veranderingen te verwachten zijn.
De meldplicht datalekken zal naar verwachting vanaf januari 2016 van kracht zijn.