Met de Wet datalekken (bijlage wetsvoorstel) is de Wet bescherming persoonsgegevens(Wbp) uitgebreid met een nieuwe verplichting om datalekken te melden bij het College bescherming persoonsgegevens (Cbp) en bij de betrokkene. Het Cbp heeft ook de bevoegdheid gekregen om bij overtredingen boetes uit te delen. Deze meldplicht is 'breed' en geldt ook voor zorgaanbieders. De wet treedt op 1 januari 2016 in werking (Stb.2015,230).
De meldplicht is opgenomen in artikel 34a van de Wbp. De klemtoon bij deze meldplicht ligt op het lekken van persoonsgegevens als gevolg van beveiligingsproblemen. Er is een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot deze gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem.
Datalekken moeten, als ze voldoende ernstig zijn, meteen gemeld worden bij het Cbp. Ook de betrokkene (lees: cliënt) moet geinformeerd worden. De verplichting rust op de verantwoordelijke. De zorgaanbieder moet zelf beoordelen of een datalek ernstig genoeg is. Als er geen melding wordt gedaan wordt dit bestraft met een bestuurlijke boete die hoog kan oplopen.
Naar verwacht komt het Cbp in oktober 2015 met richtsnoeren waarin zij een duiding geeft van wat ernstig is en gemeld moet worden.