In de Memorie van Antwoord van 19 mei 2015 wordt bij monde van de Staatssecretaris van Veiligheid en Justitie antwoord gegeven op de vragen die de Eerste Kamer heeft omtrent wetsvoorstel 33 662. In dit wetsvoorstel wordt een algemene meldplicht datalekken ingevoerd en verkrijgt het College Bescherming Persoonsgegevens (“CBP”) de bevoegdheid om bestuurlijke boetes op te leggen. Hieronder behandel ik de belangrijkste punten uit de Memorie.
Het onderwerp waar de fracties in de Eerste Kamer zich het meeste zorgen lijken te maken, is de wijze waarop uitvoering moet worden gegeven aan de meldplicht door ondernemingen. Op welke wijze moeten zij vaststellen of er sprake is van:
1. (een aanzienlijke kans op) ernstig nadelige gevolgen voor de persoonlijke levenssfeer, zodat aan het CBP moet worden gemeld;
2. waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer, zodat aan de betrokkene moet worden gemeld.
Het betreft hier namelijk open normen en dat fracties vrezen dat partijen, omdat zij niet weten hoe deze normen moeten worden ingevuld, voor de zekerheid elk lek zullen melden waardoor het CBP wordt overladen met meldingen. De parlementaire stukken bieden op dit punt, anders dan de vermelding van wat evidente voorbeelden, weinig houvast.
De Staatssecretaris geeft echter aan dat voor onnodige meldingen niet hoeft te worden gevreesd. In de eerste plaats zullen partijen lessen leren uit de datalekken die ze meemaken. Ze zullen een lijst moeten bijhouden van de datalekken die zich hebben voorgedaan en het centraal (binnen de organisatie) beschikbaar stellen van deze lijsten zal het lerend vermogen van de ondernemingen bevorderen.
Ten tweede zal het CBP via jaarverslagen, richtsnoeren en in andere publicaties informatie geven over hoe datalekken kunnen worden voorkomen, hoe ze kunnen worden afgehandeld, wanneer ze moeten worden gemeld en welke vormen van kennisgeving geschikt zijn (best practices).
Ondanks het feit dat de Staatssecretaris wil wachten op de richtsnoeren van het CBP geeft hij op aandringen van de SP en GroenLinks fracties wel aan dat er bij het lekken van financiële gegevens in beginsel altijd sprake zal zijn van nadelige gevolgen voor de persoonlijke levenssfeer.
Het is naar mijn mening echter de vraag of de door het CBP op te stellen richtsnoeren inderdaad de zekerheid zullen bieden die voor ondernemingen vereist is om een goede inschatting van een lek te maken.
In dat kader is ook relevant dat ondernemingen van de betreffende richtsnoeren op de hoogte raken. De SP en GroenLinks fracties vragen de regering wat zij concreet doet om bewustzijn onder zowel ondernemingen als consumenten te verhogen. De Staatssecretaris geeft aan dat er veel wordt gedaan aan bewustwording. Via de website veiliginternetten, Digivaardigdigiveilig en Alert Online zou het veilig gebruik van internet worden gestimuleerd. Ook het Nationaal Cyber Security Centrum (NCSC) en het CBP houden zich bezig met online veiligheid.
Het zou interessant zijn om de effectiviteit van deze campagnes te meten ten aanzien van ondernemingen. In de praktijk zie ik namelijk dat veel ondernemingen niet of onvoldoende op de hoogte zijn van hun verplichtingen onder de privacy wetgeving. Ik zie vooralsnog geen reden om aan te nemen dat dit voor de meldplicht datalekken anders zou zijn. Ik verwacht dat veel ondernemingen de weg naar de CBP richtsnoeren omtrent datalekken niet zullen vinden tenzij de regering meer aan bewustwording op dit punt gaat doen.
Zoals in een eerdere blog aangegeven, bevat de Algemene Verordening gegevensbescherming een meldplicht datalekken die aanzienlijk verschilt van de meldplicht uit het wetsvoorstel. Zodra de Verordening van kracht wordt zal de meldplicht uit het wetsvoorstel (en overigens de gehele Wet bescherming persoonsgegevens) worden ingetrokken. De Staatssecretaris verwacht dat Lidstaten in 2016 een akkoord bereiken over de Verordening. Deze zal dan na een periode van twee jaar, in 2018 dus, in werking treden. Tot die tijd zullen we het met de meldplicht datalekken uit dit wetsvoorstel moeten doen.
Tot slot bevat de Memorie een tweetal tabellen waarin huidige meldplichten en toekomstige meldplichten zijn opgenomen. Ik heb een screenshot van de huidige meldplichten hieronder opgenomen.
