NOREA-reactie op consultatie wijziging Wet bescherming persoonsgegevens

Door de NOREA is een reactie ingezonden op de conceptregeling inzake de meldplicht voor datalekken.

NOREA heeft het wetsvoorstel voor wat betreft de meldplicht datalekken beoordeeld vanuit de invalshoek of daarmee een bijdrage wordt geleverd aan de door het kabinet geformuleerde doelstelling, namelijk dat de meldplicht "bijdraagt aan een grotere transparantie bij de verwerking van persoonsgegevens, ruimere aandacht voor de noodzaak goed te investeren in beveiligingsmaatregelen, en op den duur toename van het vertrouwen van de samenleving in de geautomatiseerde verwerking van persoonsgegevens". In dat kader heeft NOREA mede beoordeeld of het wetsvoorstel in voldoende mate de controleerbaarheid van de invulling van de meldplicht ondersteunt.

De reikwijdte van de meldplicht wordt (vooral) in artikel 34a lid 1 gedefinieerd. Daarbij worden de volgende termen gehanteerd: "redelijkerwijs", "aangenomen", "aanmerkelijk risico", "nadelige gevolgen". Deze termen dienen stuk voor stuk te worden geïnterpreteerd om te bepalen of aan de meldplicht invulling moet worden gegeven. In de Memorie van Toelichting is in paragraaf 4.1.4 een beslismodel voor de verantwoordelijke beschreven. Dit beslismodel laat volgens NOREA nog (te) veel ruimte voor sterke interpretatieverschillen. Daarom wordt een nadere uitwerking van het beslismodel bepleit om te voorkomen dat door verantwoordelijken op volstrekt onevenwichtige wijze aan de meldplicht invulling wordt gegeven.

Zie de volledige NOREA-reactie op het consultatiedocument d.d. 29-2-2012. De reactie is voorbereid door de Kennisgroep Privacy Audits.