Alle organisaties moeten diefstal, verlies of misbruik van persoonsgegevens gaan melden, anders kunnen ze maximaal 450 duizend euro boete krijgen. Dat staat in een wetsvoorstel dat staatssecretaris Teeven van Veiligheid en Justitie vrijdag naar de Tweede Kamer heeft gestuurd. De wet moet een betere bescherming van persoonsgegevens stimuleren.

Onverwijld

Organisaties moeten een melding van een datalek na constatering 'onverwijld' sturen naar het College bescherming persoonsgegevens (CBP). Ook geldt een notificatieplicht aan de persoon op wiens gegevens inbreuk is gemaakt. Bedrijven en overheden die de nieuwe verplichting niet nakomen, kunnen van het CBP een boete tot maximaal 450 duizend euro krijgen.

Kennisgeving aan de betrokkene is niet vereist als een organisatie 'gepaste technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft versleuteld zijn of anderszins onbegrijpelijk zijn gemaakt', zo staat er in het wetsvoorstel. Organisaties moeten ook een overzicht van alle inbreuken bijhouden.