De regering wil de boete voor slechte beveiliging bij bedrijven die persoonsgegevens laten lekken opschroeven. Waar bedrijven in een concept-wetsvoorstel 200.000 euro boete konden krijgen, wordt dat in het definitieve voorstel 450.000 euro.
De boete kan opgelegd worden aan elk bedrijf waarvan persoonsgegevens zijn uitgelekt. Een eerder concept-voorstel vorig jaar december voor de meldplicht datalekken sprak van een maximale boete van 200.000 euro. In het voorstel dat binnenkort naar de Tweede Kamer wordt gestuurd staat een hogere maximale boete van 450.000 euro. Het wetsvoorstel is nog niet openbaar en wordt pas gepubliceerd als het naar de Kamer wordt gestuurd.
De meldplicht geldt voor alle bedrijven die informatiediensten aanbieden en daarom persoonsgegevens bewaren. De bedrijven moeten daarvoor volgens het wetsvoorstel goede beveiligingsmaatregelen treffen. Als bij een datalek blijkt dat het bedrijf niet voldoende maatregelen had getroffen om de privacygevoelige gegevens te beschermen, kan het College Bescherming Persoonsgegevens een boete opleggen.
Deze meldplicht voor datalekken wijkt af van die in de Telecomwet: die geldt alleen voor enkele sectoren, zoals telecomproviders en aanbieders van gas, water en licht. Daarvoor gelden aanvullende bepalingen: als die bedrijven worden gehackt, mag de overheid die bedrijven dwingen bepaalde maatregelen te nemen.
De afgelopen jaren is het aantal datalekken dat in de media komt fors toegenomen. Door die uitgebreide media-aandacht is ook het bewustzijn rondom beveiliging van persoonsgegevens toegenomen. Dat heeft ertoe geleid dat het demissionaire kabinet de meldplicht datalekken opnam in het regeerakkoord. Overigens kan het cbp niet alle gemelde datalekken onderzoeken, zo erkende minister Teeven al eerder.