De meldplicht datalekken wordt behoorlijk afgezwakt als het staatssecretaris Fred Teeven ligt. Het huidige wetsvoorstel zou tijd- en geldrovend zijn en daarom wil hij in het aangepaste wetsvoorstel dat voortaan alleen "ernstige" datalekken verplicht worden gemeld. Doen zowel private als publieke organisaties dat niet, dan krijgen zij een boete. Die kan oplopen tot maximaal 450.000 euro.

Zo wordt de meldplicht afgezwakt. Op dit moment geldt dat inbreuken "met een aanmerkelijke kans op verlies of onrechtmatige verwerking van persoonsgegevens" moeten worden gemeld aan privacywaakhond CBP. Dit zou in de toekomst alleen nog gelden voor een "ernstig datalek dat nadelige gevolgen heeft voor de bescherming van verwerkte persoonsgegevens".

De staatssecretaris geeft als voorbeeld van een niet ernstig lek een gemeente-website die inschrijvingen van een gratis sportpas voor jeugd registreert.

Wie bepaalt wat ernstig is?

Het grootste voordeel hiervan moet zijn dat er wordt bespaard op de kosten en administratieve lasten. Het nadeel lijkt dat organisaties deels zelf mogen inschatten wat zij als ernstig beschouwen. Het CBP is dan ook luidkeels voorstander van juist een uitbreiding van de meldplicht.

Maar de kritiek hierop is niet nieuw. Vorig jaar plaatste de Raad van State grote bedenkingen bij de meldplicht datalekken. Het belangrijkste adviesorgaan van de regering noemde de wet destijds vaag en vreesde dat er vanwege de forse boete die op het niet melden staat, er vaker onnodig zal worden gemeld.

In een brief aan Teeven omschrijft waakhond CBP z'n bezwaren tegen een wijziging van de meldplicht:

Brief CBP: Wetsvoorstel meldplicht datalekken