Privacy  

Nieuw op MijnPrivacy.nl: ‘Privacy bij een zwarte lijst’

Mag een bedrijf mij zomaar op een zwarte lijst zetten? Wat doe ik als ik ten onrechte op een zwarte lijst sta? Antwoord op deze vragen vindt u in het nieuwe dossier ‘Privacy bij een zwarte lijst’ op MijnPrivacy.nl, de publiekssite van het CBP. Ook vindt u op deze website vernieuwde informatie over het toetsen van uw kredietwaardigheid.

Wat is een zwarte lijst?
Wie heeft toegang tot een zwarte lijst?
Is de Wet bescherming persoonsgegevens (Wbp) van toepassing op een zwarte lijst?
Mag een bedrijf mij zomaar op een zwarte lijst zetten?
Hoe kom ik te weten of ik op een zwarte lijst sta?
Kan ik mijn persoonsgegevens op een zwarte lijst inzien?
Kan ik mijn persoonsgegevens op een zwarte lijst laten corrigeren of verwijderen?
Wat kan ik doen als ik een vraag of klacht heb over een zwarte lijst?

Wetsvoorstel introduceert boetebevoegdheid toezichthouder bij datalekken
22 maart 2012
Uit't persbericht: Het CBP heeft de staatssecretaris van Veiligheid en Justitie en de minister van Binnenlandse Zaken en Koninkrijksrelaties geadviseerd over het wetsvoorstel ‘gebruik camerabeelden en meldplicht datalekken’. Het wetsvoorstel introduceert de plicht voor bedrijven en overheden die persoonsgegevens verzamelen en gebruiken om een datalek zo snel mogelijk te melden bij het CBP. Als een datalek niet wordt gemeld, kan het CBP een boete van maximaal € 200.000,- opleggen.

Rechtbank Middelburg 15 maart 2012, LJN BV8942 (X tegen IND)

Prejudiciële vragen aan het Hof van Justitie EU inzake het verzoek om inzage in de minuut;het begrip "persoonsgegevens" in de zin van artikel 2 van de Privacyrichtlijn en de omvang van het inzagerecht in de zin van artikel 12 van de Privacyrichtlijn.

1. Zijn de gegevens die in de minuut van betrokkene zijn weergegeven en die betrekking hebben op betrokkene, persoonsgegevens in de zin van artikel 2, onder a, van de Privacyrichtlijn?
2. Is de in de minuut opgenomen juridische analyse een persoonsgegeven in de zin van voornoemde bepaling?

 

3. Wanneer het Hof bevestigt dat de hiervoor omschreven gegevens persoonsgegevens zijn, dient de verwerker/overheidsinstantie dan ook ingevolge artikel 12 van de Privacyrichtlijn en artikel 8, tweede lid, van het EU Handvest inzage te geven in deze persoonsgegevens?
4. Kan betrokkene in dit kader ook een rechtstreeks beroep doen op artikel 41, tweede lid, onder b, van het EU Handvest, en zo ja, moet de hierin opgenomen zinsnede “met inachtneming van het gerechtvaardigde belang van de vertrouwelijkheid op besluitvorming” zo worden uitgelegd dat het recht op inzage in de minuut op die grond kan worden geweigerd?
5. Wanneer betrokkene verzoekt om inzage in de minuut, dient de verwerker/overheidsinstantie een kopie van dit document te verschaffen om zo recht te doen aan het inzagerecht?

Op andere blogs:
Dirkzwagerieit

Rechtbank Zwolle-Lelystad, locatie Lelystad 4 mei 2011, LJN BV6594 (eiser tegen AEGON schadeverzekering N.V.)

Aegon was destijds de WAM verzekeraar van de achteropkomende auto en is door [eiser] aangesproken voor de door hem geleden schade. Aegon heeft aansprakelijkheid erkend en heeft vervolgens bureau Cunningham ingeschakeld voor de schadebehandeling. Partijen hebben geen buitengerechtelijke regeling getroffen ten aanzien van de schade.

Vraag of persoonlijk onderzoek door verzekeraar ongerechtvaardigde inbreuk is op recht op eerbiediging van persoonlijke levenssfeer.

4.3.  De rechtbank overweegt als volgt. Aegon was bij haar beslissing tot het instellen van een persoonlijk onderzoek gebonden aan de hiervoor in rechtsoverweging 2.4 aangehaalde gedragscode. Onder de door Aegon geschetste omstandigheden acht de rechtbank het niet onbegrijpelijk dat Aegon destijds van mening was dat zij (nog) niet over voldoende informatie beschikte om een verantwoorde beslissing te nemen dan wel dat bij haar twijfel was ontstaan over de juistheid van de reeds naar voren gekomen feiten. De opvatting van [eiser] dat alleen een onderzoek kon worden ingesteld bij een vermoeden van fraude wordt niet door de tekst van de code ondersteund en is dan ook onjuist.

De vraag of [eiser] de schaderegelaar daadwerkelijk heeft bedreigd kan naar het oordeel van de rechtbank in het midden blijven, aangezien de rechtbank het voorstelbaar acht dat het door [eiser] geschetste scenario met de politiehonden op zijn minst bedreigend is overgekomen bij de schaderegelaar.

4.4. De rechtbank is op grond van bovenstaande overwegingen van oordeel dat voldoende gerechtvaardigde gronden aanwezig waren waarop Aegon, met inachtneming van de toepasselijke gedragscode, kon besluiten tot het instellen van een persoonlijk onderzoek jegens [eiser].

Aegon was destijds gebonden aan de "Gedragscode Persoonlijk Onderzoek" en voortvloeiend daaruit, en mede uit artikel 34 Wbp had AEGON eiser moeten informeren over en diende zij schriftelijke toestemming van eiser tot het instellen van een dergelijk persoonlijk onderzoek. Nu zij dit heeft nagelaten wordt de verklaring voor recht toegewezen en is zij schadeplichting. De rechtbank oordeelt dat er geen sprake is van strijd met de zorgvuldigheidsnorm door de verzekeraar ex artikel 35 Wbp, omdat AEGON niet is aan te merken als verantwoordelijke in de zin van de Wbp.

4.9.  Aegon stelt dat zij gehandeld heeft conform de toepasselijke gedragscode en dat derhalve geen sprake kan zijn van schending van een zorgvuldigheidsnorm. Bovendien kan een verzoek aan een schaderegelaar niet worden aangemerkt als een verzoek zoals beschreven in artikel 35 lid 1 Wbp, zodat dit artikel toepassing mist. Volgens Aegon had [eiser] zijn verzoek aan de verantwoordelijke persoon -in de zin van de Wbp- binnen Aegon moeten richten.

 

CBP stuurt brief met reactie op hoofdpunten aan Eerste en Tweede Kamer en het voorlopig standpunt.

Uit't persbericht. De Europese Commissie heeft op 25 januari 2012 voorstellen gepubliceerd voor een grootscheepse herziening van het Europees juridisch raamwerk voor dataprotectie. Dat raamwerk omvat een nieuwe Europese verordening voor de verwerking van persoonsgegevens die de huidige privacyrichtlijn moet gaan vervangen en daarnaast een nieuwe richtlijn voor gegevensverwerking door politie en justitie.

Het College bescherming persoonsgegevens staat positief tegenover de harmonisatie van privacyregelgeving zoals voorgesteld in het ontwerp voor een nieuwe Europese verordening. Het vastleggen van een gelijk speelveld voor alle lidstaten van de EU is van groot belang in een tijdperk waarin gegevensverwerking in toenemende mate grensoverschrijdend is.

Aan de alomvattendheid van het wetgevingspakket wordt naar de mening van het CBP echter afbreuk gedaan door het ontwerp voor een nieuwe Europese richtlijn op het gebied van gegevensbescherming in de rechtshandhavingssector. De teksten van beide instrumenten lopen op punten behoorlijk uiteen. Het CBP dringt er op aan dat de samenhang tussen beide instrumenten wordt gewaarborgd en op een aantal punten fors versterkt.

Het CBP heeft in een brief van 2 maart 2012 zijn voorlopig standpunt over de voorstellen van de Commissie aan de beide Kamers gestuurd.

White paper 'Cookies Under Control', SOLV-blog 29 februari 2012.

Een bijdrage van Milica Antic, SOLV.

De nieuwe regels over het gebruik van cookies is een onderwerp waar Milica Antic inmiddels al veel over heeft gezegd en geschreven. Vandaag verschijnt van haar hand een overzichtelijke white paper met daarin informatie over de actuele stand van zaken met betrekking tot de nieuwe regels, de implicaties voor de praktijk, tips en antwoord op 5 belangrijke vragen:

1) Voor welke technologiën gelden de nieuwe regels?
2) Wie is verantwoordelijk?
3) Hoe moet worden voldaan aan de regels?
4) Hoe zit het met zelfregulering?
5) Wie gaat er handhaven?

De white paper is het Engels opgesteld.

Voor opmerkingen, aanbevelingen of vragen kunt u terecht bij Milica: antic@solv.nl of via Twitter: milica_antic. Wij zijn benieuwd naar uw mening!

Uit't persbericht: Naar aanleiding van de uitzending van Nieuwsuur van gisteravond over het filmen van personen op de spoedeisende hulp van het VU medisch centrum in Amsterdam, zal het College bescherming persoonsgegevens (CBP) het VU medisch centrum en Eyeworks om inlichtingen verzoeken.

De vraag is of deze beelden hadden mogen worden opgenomen. Voor het verwerken van persoonsgegevens is een wettelijke grondslag nodig. Voor het filmen van mensen op een dergelijke locatie en in een dergelijke situatie komt mogelijk alleen de grondslag ‘ondubbelzinnige toestemming’ in aanmerking. Aan de wijze waarop rechtsgeldig toestemming moet worden gegeven stelt de wet hoge eisen, zeker wanneer het gaat om medische gegevens, die vanzelfsprekend gevoelig van aard zijn.

W.H. van Holst, De derde landen problematiek van de Wbp en de beroepsaansprakelijkheid van de juridisch adviseur, IT 682.

Commentaar van Walter van Holst, Mitopics.

Onlangs is een aantal wijzigingen in de Wet bescherming persoonsgegevens (Wbp) van kracht geworden die met name de doorgifte van persoonsgegevens naar zogenaamde derde landen beoogt te vereenvoudigen. Enige kritische kanttekeningen bij de meest in het oog springende wijziging: het mogelijk maken van doorgifte van persoonsgegevens naar derde landen zonder een vergunningsprocedure.

De toevoeging van sub g aan lid 1 van artikel 77 Wbp is een intrigerende wijziging in het licht van de wetsgeschiedenis van Richtlijn 95/46/EG waar de Wbp nu eenmaal een implementatie van is. Met de memorie van toelichting in de hand valt uit de huidige tekst inderdaad op te maken dat er zelfs geen sprake meer is van een meldplicht voor een doorgifte aan een zogenaamd ‘derde land’ (lees: een land buiten de Europese Vrijhandelsassociatie), mits er gebruik wordt gemaakt van de bekende modelcontracten van de Europese Commissie. Dit is mogelijk gemaakt door Besluit 2004/915/EC van de Europese Commissie om Beschikking 2001/497/EG aan te passen en eerst nu geïmplementeerd in de Nederlandse wetgeving. De redactie van artikel 77 Wbp heeft daarbij niet aan leesbaarheid gewonnen, maar daar zullen we in het licht van de 25 januari jl. voorgestelde Algemene Verordening Bescherming Persoonsgegevens niet lang last van hebben.

Het blijft echter de vraag of deze wijziging, die in feite een aanvulling geeft op artikel 25 lid 1 van Richtlijn 95/46/EG (zonder de richtlijn aan te passen, een innovatieve wijze van een richtlijn herzien) nog wel beantwoordt aan de materiële eisen van artikel 8 van het Europees Handvest voor de Rechten van de Mens en artikel 8 van het Europees Verdrag voor de Rechten van de Mens. Immers, het inzage-, correctie- en verwijderingsrecht van betrokkene wordt nu geheel afhankelijk gesteld van het effectueren van de bevoegdheden uit de conform modelcontracten aangegane bewerkersovereenkomst van de verantwoordelijke.

Perspectief van een praktijkjurist
Vanuit het perspectief van een praktijkjurist is een andere vraag inmiddels minstens zo interessant: is het, ondanks het bestaan van deze formele opening voor doorgifte naar derde landen, wel verstandig om een cliënt te adviseren hier gebruik van te maken?

Er zijn een aantal aanleidingen om te stellen dat een redelijk, vakbekwaam handelend jurist een negatief advies dient uit te brengen in het geval hem of haar gevraagd wordt een uitspraak te doen over doorgifte van persoonsgegevens naar een derde land. In dit blog zal ik twee aanleidingen nader bespreken.

Datagraaierij
Allereerst het fenomeen “datagraaierij” waar met name de overheid van de Verenigde Staten zich schuldig aan maakt. Het gaat hier om het opvragen van gegevens uit hoofde van onder andere de bekende PATRIOT Act. Minder bekend is dat een andere Amerikaanse wet, de Protect America Act uit 2007, de bevoegdheid in het leven heeft geroepen om alle communicatie waarbij tenminste één van de betrokkenen zich buiten de grenzen van de Verenigde Staten bevindt, onder electronische surveillance te plaatsen zonder voorafgaand rechterlijk bevel. Service providers die gehoor geven aan een dergelijk bevel, hebben civielrechtelijke immuniteit tegenover derden.

Interessant daarbij is dat de Amerikaanse overheid met name aan de PATRIOT Act een extraterritoriale werking toekennen: als de gevraagde gegevens zich niet op het grondgebied van de Verenigde Staten bevinden maar wel beheerst worden door bedrijven met een substantiële presentie in de Verenigde Staten, worden dergelijke bedrijven voor de de facto keuze gesteld aan inzageverzoeken te voldoen of hun activiteiten in de Verenigde Staten te beëindigen. Dit zou vanuit het oogpunt van gegevensbescherming geen probleem hoeven te zijn als de Verenigde Staten een toetsingskader zouden hanteren wat vergelijkbaar is met ons EVRM en de Richtlijn 95/46/EG in termen van proportionaliteit.

Niet alleen de overheid van de Verenigde Staten heeft een forse datahonger, ook de overheden van populaire uitbestedingslanden zoals India en China tonen weinig scrupules op dit terrein en hebben evenmin een niveau van waarborgen wat als gelijkwaardig met dat van de EU beschouwd kan worden.

De eerder aangehaalde beslissing van de Europese Commissie (2004/915/EC) bevat echter een aantal elementen die in samenhang met de eerdergenoemde datagraaierij op gespannen voet staan met een eventuele doorgifte naar derde landen zoals de Verenigde Staten, India en China. Zo vermelden de overwegingen onder andere het volgende:

“(…) de gegevensexporteur is ook aansprakelijk indien hij geen redelijke inspanning doet om zich ervan te vergewissen dat de gegevensimporteur in staat is om aan zijn wettelijke verplichtingen volgens de contractbepalingen te voldoen ("culpa in eligendo") (…).”  (2004/915/EC, overweging 5)

In het licht van de vergaande inzagebevoegdheden die overheden van derde landen hebben, valt te betwijfelen of een verantwoordelijke nog wel gepaste zorg heeft betracht indien persoonsgegevens naar derde landen zoals genoemd worden doorgegeven. Ook wordt in dit kader de vraag opgeroepen of verantwoordelijke niet aansprakelijk is voor de eventuele schade die een betrokkene lijdt als gevolg van een dergelijke inzage.

Tweede punt: waarborgen
Het tweede punt is dat een toezichthouder tot de conclusie kan komen dat, ondanks het gebruik van de standaardcontracten, de verwerking niet met voldoende waarborgen omkleed is en dat onmiddellijke opschorting van de verwerking geëist kan worden. Juist nu meer en meer kritische bedrijfsprocessen van organisaties voorwerp zijn van uitbesteding in enigerlei vorm, kan een dergelijk besluit een enorme impact hebben op de continuïteit van de bedrijfsprocessen. Deze situatie heeft zich nog niet voorgedaan, maar het is een kwestie van tijd dat dit zich eens gaat voordoen.

Om deze redenen acht ik het dan ook hoogst twijfelachtig of het uit oogpunt van juridische vakbekwaamheid verdedigbaar is om te adviseren om van deze route gebruik te maken.

W.H. van Holst
Wilt u reageren? Klik hier of stuurt u uw bijdrage in naar redactie@itenrecht.nl.

De Wet bescherming persoonsgegevens (Wbp) is op een aantal punten aangepast. Het voornaamste doel hiervan is de administratieve lasten en nalevingskosten voor verantwoordelijken - bedrijven en instellingen die persoonsgegevens verwerken - te verminderen. De wet ‘Wijziging Wbp in verband met de vermindering van administratieve lasten en nalevingskosten, wijzigingen teneinde wetstechnische gebreken te herstellen en enige andere wijzigingen’ (31 841) treedt in werking op 9 februari 2012 .

Hieronder volgt een overzicht van de aanpassingen die lastenverlichting opleveren voor verantwoordelijken en van de belangrijkste overige wijzigingen. Het Wbp-artikel waarin een genoemde wijziging zich voordoet, staat tussen haakjes achter de beschrijving. Zie hier.

Met dank aan Jan-Jaap Oerlemans, promovendus Universiteit Leiden en juridisch adviseur Fox-IT.

Tot en met 29 februari 2012 wordt een wijzigingswet van de Wet bescherming persoonsgegevens (Wbp) ter consultatie gegeven. In het concept van de wijzigingswet wordt onder andere ingegaan op de algemene meldplicht datalekken. Tegelijkertijd bestaan er nog een aantal sectorspecifieke meldplichten. In dit bericht wil ik overzicht geven van de meldplichten die al bestaan en nog in de maak zijn.

Meldplicht datalekken I
Bij de Eerste Kamer ligt nu een voorstel voor een meldplicht datalekken voor aanbieders van openbare elektronische communicatiediensten (denk aan telefoniebedrijven en internet service providers) dat betrekking heeft tot beveiligingsincidenten die nadelige gevolgen hebben voor de privacy van de betrokkenen. De meldplicht wordt geïmplementeerd naar aanleiding van Europese richtlijnen die wij inmiddels al in onze nationale wetgeving geïmplementeerd hadden moeten hebben.

Betrokkenen hoeven niet geïnformeerd te worden wanneer naar het oordeel van het College (hier nog de OPTA) gepaste technische maatregelen zijn genomen, waardoor geen toegang kan worden verschaft tot de persoonsgegevens. De OPTA moet dus wel in kennis worden gesteld, maar de melding aan de betrokkenen kan eventueel achterwege blijven. De OPTA heeft hierbij het laatste woord.

Daarnaast komt er een meldplicht voor ‘veiligheidsinbreuken en het verlies van integriteit in het geval deze een belangrijk effect hebben gehad op de continuïteit van het netwerk of de daarover geleverde diensten’. Die melding moet (hoogstwaarschijnlijk?) worden gedaan aan het Agentschap Telecom. Een meldpunt zou ervoor moeten zorgen dat geen overlap of onduidelijkheid optreed bij welke instantie nu een melding moet worden gedaan als het incident zowel gevolgen heeft voor zowel de bescherming van persoonsgegevens als de integriteit van het netwerk. Zie over deze meldplicht dit verhelderende artikel in het tijdschrift Computerrecht van Frederik Borgesius (UvA).

Meldplicht datalekken II
Het kabinet wil de voorgestelde meldplicht uit de Telecommunicatiewet blijkbaar nú al wijzigen. In het conceptwetsvoorstel (.pdf) voor wijziging van de Wet bescherming persoonsgegevens wordt namelijk een meldplicht voorgesteld die zeer vergelijkbaar is met die uit de Telecommunicatiewet, maar die nu aan College Bescherming Persoonsgegevens moet worden gedaan. Op zich wordt een wirwar aan instanties voor dezelfde meldplicht (m.b.t. persoonsgegevens) deels voorkomen door het CBP als instantie voor te wijzen, maar de toezicht zou nog steeds moeten liggen bij de OPTA. Bovendien is het onduidelijk wat nu de bedoeling is met dat meldpunt waar in de toelichting van de wijzigingswet voor de Telecommunicatiewet over wordt gesproken.

In het conceptwetsvoorstel wordt van een algemene meldplicht uitgegaan voor zowel private als publieke partijen. Dat is een discrepantie met het regeerakkoord waar slechts werd gesproken over een meldplicht voor verlies bij persoonsgegevens voor ‘diensten in de informatiemaatschappij’. Bij dit begrip moet vooral gedacht worden aan webwinkels en hosting providers.

Betrokken moeten alleen worden geïnformeerd indien het incident heeft geleid tot een ‘aanmerkelijk risico dat het incident leidt tot verlies of de onrechtmatige verwerking van persoonsgegevens’. De verantwoordelijke in de zin van de Wbp moet de melding doen en betrokkenen inlichten. Hoe deze melding precies moet plaatsvinden is afhankelijk van het aantal betrokkenen bij het beveiligingsincident. Een kleine kring betrokkenen kan volgens de toelichting op het voorstel persoonlijk worden ingelicht en anders kan met een advertentie in een dagblad worden volstaan. Het verbaast mij dat e-mail niet expliciet als voorbeeld wordt genoemd.

Het blijft natuurlijk vaag wanneer precies zo’n melding moet worden gedaan aan betrokkenen. Eventueel kan de toezichthouder hier in beleidsregels duidelijkheid over geven. Versleuteling wordt als voorbeeld gegeven dat zo’n meldplicht aan betrokkenen (niet de toezichthouder) kan worden voorkomen. Echter, als een bedrijf echt goed gehackt wordt kan wellicht ook toegang worden verschaft tot de versleutelde bestanden.

Zie ook dit blogbericht van Dirkzwager Advocaten over het conceptvoorstel en de algemene meldplicht. 

Meldplicht voor financiële instellingen
In het conceptwetsvoorstel wordt uitgebreid ingegaan op meldplichten voor financiële instellingen. Het komt er op neer dat zij ook een soort meldplicht hebben, maar dan op grond van de artikelen 3:10 lid 3 en 4:11 lid 4 Wet op het financieel toezicht (Wft). Zij zijn verplicht informatie te verstrekken aan De Nederlandsche Bank (DNB en de Autoriteit Financiële Markten (AFM) over ‘incidenten die betrekking hebben op de integere bedrijfsvoering’. Skimmingspraktijken worden als voorbeeld genoemd als een incident dat valt onder de meldplicht. Financiële instellingen moeten hun cliënten informeren over het incident en als daartoe aanleiding bestaat schadeloos stellen. Indien nodig kan de DNB of AFM interveniëren bij de onderneming.

Let op: een openbare kennisgeving van het beveiligingsincident zoals voorgesteld in de Wbp is voor de financiële instellingen niet van toepassing. Door de informeringsplicht aan de cliënten van de banken en eventuele schadeloosstelling is volgens het conceptwetsvoorstel de bescherming van persoonsgegevens voldoende gewaarborgd. Voorkomen wordt dus dat nog een extra meldplicht aan de financiële instellingen wordt opgelegd. Opgemerkt wordt nog:

“Dergelijke openbare kennisgevingen in de financiële sector zijn - mede tegen de achtergrond van de financiële crisis – te risicovol om dwingend te worden voorgeschreven. Onvoorspelbaar is of een openbare kennisgeving kan leiden tot het ontstaan van geruchten die niet meer op zakelijke wijze ontzenuwd kunnen worden en die daardoor nodeloos aanleiding geven tot vermindering van vertrouwen van het publieke of de relevante markt.”

Daar kan ik mij op zich wel wat bij voorstellen, maar het is de vraag of de Kamerleden het ook voldoende vinden.

Meldplicht beveiligingslekken?
Kamerlid Jeanine Hennis-Plasschaert heeft tenslotte een motie voorgesteld (Kamerstukken II 2011/12, 26 643, nr. 202) die is aangenomen over de meldplicht voor inbreuken bij organisaties die zijn betrokken bij vitale informatiesystemen. Deze meldplicht is aangenomen in de tijd van het Diginotar-incident. Het is bedoeling dat het Nationaal Cyber Security Centrum daar dan over wordt ingelicht en er eventueel naar handelt. Opstelten heeft in zijn Kamerbrief over cybersecurity aangegeven dat hij vóór het zomerreces van 2012 laat weten of en op welke manier aan de motie uitvoer wordt gegeven.

Conclusie
Ik heb er niet zoveel ideeën over of de invoering van nieuwe meldplichten nu wel of niet verstandig is. Helemaal nieuw zijn ze niet, want voor beursgenoteerde bedrijven bestaat al een meldplicht bij incidenten die van invloed kunnen zijn op de koers en daarnaast bestaat er al een meldplicht voor het lekken van staatsgeheimen. Tenslotte kan een meldplicht ook contractueel overeen worden gekomen tussen partijen. Duidelijk is wel dat ook met het conceptwetsvoorstel bedrijven met verschillende instanties te maken kunnen hebben die toezien op de meldplichten. Dat maakt het wel allemaal wel ingewikkeld en bureaucratisch. Positief is dat bedrijven onder dreiging van een boete van 200.000 euro de beveiligingsplicht voor persoonsgegevens (zoals vastgelegd in artikel 13 Wbp) in de toekomst wellicht (nog) serieuzer zullen nemen.