Het ministerie van Economische Zaken heeft een wetsvoorstel gepubliceerd over een meldplicht voor datalekken. Volgens het voorstel moeten partijen die persoonsgegevens verliezen dit verplicht melden bij het CBP en de getroffenen.
Het voorstel is gepubliceerd op Internetconsultatie.nl. Inspraak is mogelijk tot en met eind februari. De voorgestelde wetgeving stelt dat iedere partij die persoonsgegevens verwerkt en deze verliest, bijvoorbeeld door een hack, dit direct aan het College Bescherming Persoonsgegevens moet melden. In de melding moet het lek beschreven worden evenals de maatregelen die genomen zijn om de gevolgen te beperken. Ook moeten alle getroffenen ingelicht worden over de hack, behalve als de gelekte data versleuteld is.
Het CBP kan een boete van maximaal 200.000 euro opleggen als een organisatie nalaat een melding te maken en dus de meldplicht ontduikt. Dit relatief hoge bedrag moet volgens de opstellers van de meldplicht duidelijk maken dat transparantie bij een datalek een noodzaak is, evenals het voldoende beveiligen van systemen.
Bits of Freedom, die lange tijd heeft geijverd voor een meldplicht bij datalekken, is in grote lijnen tevreden met het wetsvoorstel. Wel stelt de organisatie enkele verbeteringen voor; zo zouden diverse criteria aangescherpt moeten worden omdat deze te vaag of subjectief zouden zijn. Ook zou een datalek niet alleen op de website van een getroffen partij gemeld moeten worden. Bits of Freedom pleit verder voor het openbaar maken van alle meldingen bij het CBP.