Bedrijven en overheidsinstanties die datalekken niet rapporteren, kunnen straks een boete van maximaal 200.000 euro van het College bescherming persoonsgegevens (CBP) krijgen. Het CBP adviseerde de staatssecretaris van Veiligheid en Justitie en de minister van Binnenlandse Zaken en Koninkrijksrelaties over het wetsvoorstel meldplicht datalekken. De toezichthouder adviseert onder meer om het wetsvoorstel inzake datalekken nauwer te laten aansluiten bij de Europese ontwerpverordening gegevensbescherming.

Het Nederlandse wetsvoorstel kent anders dan de Europese ontwerpverordening een drempel voor het melden van zaken: niet alle zaken hoeven te worden gemeld. Het CBP deelt de mening van de staatssecretaris dat niet iedere bagatelzaak moet worden gemeld, maar adviseert om pas na enige praktijkervaring met de meldplicht te definiëren welke datalekken wel en welke niet hoeven te worden gemeld.

Werklast
Ook adviseert het CBP om helderheid te verschaffen over de eigen rol met betrekking tot de ontvangen meldingen en vraagt het de ministers om te onderzoeken wat de invoering van de meldplicht datalekken voor de werklast van het CBP betekent.

De toezichthouder vreest dat de invoering van de meldplicht zodanige beheersmatige gevolgen heeft, dat het bestaande taken en bevoegdheden niet meer naar behoren kan uitvoeren als voor de nieuwe taken geen extra middelen ter beschikking komen.