Nederlandse bedrijven moeten het voortaan aan klanten melden als door een lek of hack persoonlijke gegevens in handen van derden kunnen zijn gevallen. De meldplicht voor datalekken gaat gelden voor aanbieders van informatiediensten.
Het is nog onduidelijk wie er precies onder vallen, maar het kabinet noemt banken en verzekeringsmaatschappijen als voorbeelden van bedrijven die een meldplicht krijgen. Ook overheidsinstanties vallen onder de nieuwe regels. Wanneer de meldplicht ingaat, is onduidelijk. Het kabinet gaat de Wet bescherming persoonsgegevens aanpassen om de meldplicht erin op te nemen.
De wetswijziging verplicht die bedrijven om niet alleen klanten te melden als door een hack of lek persoonsgegevens kunnen zijn ontvreemd, maar ook toezichthouder College Bescherming Persoonsgegevens moet op de hoogte gesteld worden. Als klanten of het CBP niet op de hoogte worden gesteld, kan een boete worden uitgedeeld. Op dit moment is het melden van datalekken niet verplicht in Nederland. De meldplicht komt niet als een verrassing: de maatregels stond aangekondigd in het regeerakkoord.
Het gebeurt geregeld dat datalekken in de publiciteit komen. Een recent voorbeeld is de ontvreemding van accountgegevens van 77 miljoen leden van PlayStation Network. Andere bekende voorbeelden zijn die van NL Energie, waarbij gegevens van alle klanten op straat kwamen te liggen en Kasboek.nl, dat per abuis financiële gegevens van duizenden klanten openbaarde.
Er is voor privacyvoorvechters niet alleen goed nieuws van het kabinet: in dezelfde wet wordt opgenomen dat camerabeelden die bedrijven en particulieren maken voor hun eigen veiligheid voortaan vier weken mogen worden bewaard. Nu staat die termijn op 24 uur. Met de maatregel wil de overheid cameracontrole aantrekkelijker maken voor bedrijven en particulieren.