Door: Mark Jansen
De Nederlandse regering heeft op 20 december 2011 op www.internetconsultatie.nl het eerste concept gepubliceerd voor een nationale algemene meldplicht datalekken. Deze meldplicht is van toepassing op iedereen die persoonsgegevens verwerkt (en is daarmee ruimer dan de meldplicht die was aangekondigd in het regeerakkoord). Het belang van het wetsvoorstel is, mede vanwege de forse boete, dan ook groot. Het is dan ook een goede zaak dat ieder die dat wil, via de genoemde website zijn of haar mening kan geven over het wetsvoorstel.
Wat staat er in de kern in het wetsvoorstel? Bij een inbreuk op beveiligingsmaatregelen moeten twee partijen ‘onverwijld’ worden geïnformeerd: (1) het College bescherming persoonsgegevens (CBP) en (2) de personen wier gegevens door de inbreuk (mogelijk) gecompromitteerd zijn. Die getroffen personen hoeven echter niet te worden geïnformeerd wanneer beveiligingsmaatregelen (zoals encryptie) zijn toegepast die naar het oordeel van het CBP voldoende zijn. Welke maatregelen dat zijn en wanneer deze volstaan, is overigens nog niet bekend; de regering hoopt dat het CBP met richtlijnen zal komen. Verder moet een overzicht worden bijgehouden van alle inbreuken op de beveiligingsmaatregelen. Op schending van al deze verplichtingen staat een boete van (maximaal) 200.000 euro.
Het voorstel bevat enkele eigenaardigheden. Ik licht er twee uit. Het eerste wat opvalt is dat de ‘meldplicht datalekken’ eigenlijk een ‘meldplicht beveiligingsinbreuken’ is. De boete staat alleen op het niet of niet volledig melden van een inbreuk op de getroffen beveiligingsmaatregelen, niet op het feit dat mogelijk onvoldoende beveiligingsmaatregelen zijn getroffen. Het paradoxale gevolg daarvan is dat wie persoonsgegevens in het geheel niet beveiligt en vervolgens kampt met een datalek straks geen boete kan krijgen, terwijl degene die wel beveiligingsmaatregelen heeft getroffen straks bij ieder datalek een forse boete kan krijgen. Let wel: degene die geen beveiligingsmaatregelen toepast, schendt waarschijnlijk de beveiligingsverplichting van artikel 13 Wet bescherming persoonsgegevens (Wbp). Op een dergelijke schending staat echter geen boete, hooguit kan door het CBP een last onder dwangsom worden opgelegd. Degene van wie gegevens zijn uitgelekt, kan bovendien zijn schade in dat geval verhalen (daarover hierna meer).
Het tweede punt is dat niet iedere inbreuk op de beveiliging gemeld moet worden, maar alleen die inbreuken met mogelijke gevolgen voor de privacy van de betrokken personen. De gedachte hierachter is dat de overheid en het bedrijfsleven niet moeten worden belast met het doen van meldingen van incidenten waarbij toch geen bloed vloeit. Het betekent echter wel dat bij ieder beveiligingsincident straks eerst onderzocht moet worden of wel of geen melding moet worden gedaan. Waar de grens ligt, is nu nog niet duidelijk. Gezien de mogelijk forse boete, verwacht ik dat straks (zekerheidshalve) veel incidenten juist gemeld gaan worden.
Voegt het wetsvoorstel iets toe? Jazeker. Wanneer dit voorstel het straks, hopelijk na opheldering van alle onduidelijkheden, schopt tot wet zal een (duidelijk) kader bestaan rondom het melden van datalekken en beveiligingsincidenten. Vergeet echter niet dat het melden van een datalek ook nu al verstandig kan zijn. Stel dat een hacker gegevens van klanten op vrij eenvoudige wijze buit heeft kunnen maken bij een bedrijf vanwege een lek in de gebruikte software. Door gebruik te maken van dergelijke ‘lekke’ software schendt het bedrijf waarschijnlijk de beveiligingsverplichting van artikel 13 Wbp. In dat geval kunnen de klanten wiens gegevens hierdoor op straat zijn komen te liggen hun schade – bijvoorbeeld vanwege misbruik van hun creditcard – in beginsel verhalen op dit bedrijf. Om de omvang van die schade te beperken, doet het bedrijf er verstandig aan de betreffende klanten te informeren over de hack en hen te waarschuwen maatregelen te nemen (zoals blokkade van de creditcard). Sterker nog, een geïnformeerde klant die geen actie onderneemt, kan waarschijnlijk zijn schade vervolgens niet meer op het bedrijf verhalen. Met andere woorden: ook onder de huidige wetgeving kan het verstandig zijn datalekken te melden.
Mark Jansen is advocaat IT-recht en Intellectuele Eigendom bij Dirkzwager advocaten & notarissen.
Deze bijdrage komt uit IP nr. 1&2 / 2012. Het gehele nummer kun je hier lezen