Blog Legal Look: Victor de Pous over meldplicht datalekken

  1. 20 apr 2015
  2. 0 reacties

Victor de Pous

> Wat is de status van de Wet meldplicht datalekken?

De Tweede Kamer ging onlangs akkoord met een voorstel voor wijziging van de Wet bescherming persoonsgegevens, die uit juni 2013 stamt. Deze Wet meldplicht datalekken breidt tevens de bestuurlijke boetebevoegdheid van het College bescherming persoonsgegevens uit. En hoe. De maximale boete stijgt met 100% naar 450.000 euro.

Verantwoordelijken, dat zijn overheidsorganisaties en bedrijven die persoonsgegevens verwerken zoals personeelsinformatie en klantgegevens, moeten een ‘lek’ gaan melden. Hierbij gaat het om een incident waarbij kans op verlies of onrechtmatige verwerking van persoonsgegevens bestaat. Let op. Cloudleveranciers en hosting-providers ontspringen in beginsel deze dans, onder de nadrukkelijke voorwaarde dat zij slechts bewerker in de zin van de WBP zijn. In deze omstandigheid hoeven zij dus op grond van deze wet geen melding te doen. Dat laat onverlet dat zij te allen tijde hun eigen verantwoordelijkheid behouden voor de beveiliging van persoonsgegevens die zij in opdracht van hun contractspartij verwerken. Wie de beveiligingsplicht schendt, kan straks een boete van 450.000 euro krijgen.

> Wat zegt de Eerste Kamer?

De senaat kan zich grosso modo vinden in de beoogde regeling als zodanig. Interessant is het verschil in motivering. Zo verwacht de VVD een verbering van de informatiebeveiliging, terwijl het CDA denkt dat vertrouwen van het publiek in gegevensverwerking zal toenemen. Vrijwel alle fracties hebben vragen. Onduidelijkheid heerst. De SP en GroenLinks vragen zich af of de nieuwe wet de positie van de consument daadwerkelijk verbetert. Zij bepleiten goed beschouwd dat behalve de toezichthouder ook de consument moet worden geïnformeerd wanneer zijn gegevens zijn gelekt. En de liberalen weten niet hoe zich de Nederlandse wet verhoudt met de Europese Richtlijn voor netwerk- en informatiebeveiliging en de op stapel staande Europese Algemene Verordening Gegevensbescherming (AVG), die beide eveneens een meldplicht bevatten.

> Hoe moeten we deze regeling plaatsen?

Ons wetsvoorstel past in de stijgende trend van meldplichten voor ICT-gerelateerde incidenten (van storing tot het doorbreken van beveiliging). Als grondslag geldt het privacyrecht, telecommunicatierecht of ander rechtsgebied, zowel communautair als nationaal. Sommigen meldplichten zijn smal, anderen breed. De ene keer moet er uitsluitend aan een bepaalde toezichthouder worden gemeld - College bescherming persoonsgegevens, Agentschap Telecom of National Cyber Security Centrum - een andere keer mede aan betrokkene. Het resultaat laat zich raden. Verwarring en aansprakelijkheid trekken gelijk op met de stijging van de verplichtingen en bovendien met de verhoging van administratiefrechtelijke boetes; een andere trend. De dwingendrechtelijke meldplichten creëren transparantie over incidenten; ze richten zich echter vooral op de beperking van schade. Wie niet weet dat zijn bad overstroomt, kan geen schadeperkende maatregelen nemen. Juridisch bezien, kan je zeggen dat meldplichten een bijzondere vorm van informatieverplichtingen zijn, maar de bonte verzameling zoals we die in dit domein hebben, kent een keerzijde. Verwarring ligt namelijk op de loer, zowel inhoudelijk (wanneer moet er precies wat worden gemeld) en formeel (op welke wijze moet er aan welke partij worden gemeld). Met de exponentiële stijging van boetes, stijgt de kans op aansprakelijkheid voor niet-melden. 

Mr. V.A. de Pous is bedrijfsjurist en industrie-analist. Hij houdt zich sinds 1983 bezig met de juridische aspecten van digitale technologie en informatiemaatschappij en is medewerker van uitgeverij FenceWorks.

 
Dossiers