Legal Look: Victor de Pous over meldplicht

> Moet cybercrime worden gemeld?
Een advocaat en oud-officier van justitie haalde onlangs de voorpagina in het Financieele Dagblad. Hij adviseert cliënten met regelmaat cybercrime niet te melden. Het betreft ronduit slechte informatievoorziening, zowel van de geïnterviewde als de redactie, omdat de artikelen de lezer gemakkelijk op het verkeerde been zet.

Cybercriminaliteit hoeft namelijk niet op grond van het Nederlandse recht – aan wie dan ook – te worden gemeld. Niet aan het Openbaar Ministerie, niet aan een toezichthouder, zoals Autoriteit Persoonsgegevens, en bijvoorbeeld niet aan de Nationaal Cyber Security Centrum; het publiek-private samenwerkingsverband dat onder het ministerie van Veiligheid en Justitie valt. De uitspraak suggereert ten onrechte het bestaan van een dergelijk algemeen voorschrift. We moeten de discussie dus zuiver voeren. Het niet-melden van cybercriminaliteit als zodanig leidt niet tot risico voor het bestuur van een organisatie; het niet melden van een meldplichtig incident wel. Nog een punt, waar in het FD aan voorbijgegaan wordt. Een wettelijke meldplicht voor een digitaal incident, inclusief voor een lek van persoonsgegevens, kan te maken hebben met criminaliteit. Dat hoeft echter nadrukkelijk niet het geval te zijn. USB-sticks worden verloren, een officier van justitie zet een PC bij het oud vuil, er gaat iets mis met een software patch, een gemeenteambtenaar stuurt persoonsgegevens naar een verkeerd mailadres, en wat dies meer zij. Vaak ontbreekt opzet en is er geen sprake van cybercrime.

> Kent Nederland wettelijke meldplichten?
Inmiddels zijn er in Nederland allerlei wettelijke meldplichten van kracht of staan voor de deur, vooral in relatie tot ICT-gerelateerde incidenten. Denk aan – een vermoeden van – een lek van persoonsgegevens, een veiligheidsinbreuk of integriteitsverlies. Je kunt zelfs spreken van een stevige legislatieve trend in de informatiemaatschappij. Sommige zijn smal (sectoraal); andere breed (voor alle organisaties). Daarnaast kenden we al meldplichten voor andersoortige voorvallen, zoals vastgelegd in de Wet financieel toezicht: incidenten die betrekking hebben op integere bedrijfsvoering. Doorredenerend komen we overigens hier – mede – uit op computercriminaliteit in soorten en maten. Goed om te weten: bij de meeste meldplichten gaat het primair om het beperken van schade en vervolgens om het stimuleren van vertrouwen in een bepaalde sector of, breder, de samenleving. Voor de Wet meldplicht datalekken is dat niet anders. Daar komt nog bij dat ook het algemeen belang een zaak van gewicht is. De informatiesamenleving heeft juist dringend behoefte aan meer vertrouwen van de burger.

> Wat is het echte risico?
De diverse meldingen (wanneer moet wat door wie worden gemeld) verschillen onderling inhoudelijk. Dat geldt ook voor de te volgen procedure (aan welke toezichthouder en/of andere partij moet er op welke wijze en binnen welke termijn worden gemeld). Hierdoor trekken verwarring en aansprakelijkheid waarschijnlijk gelijk op met de stijging van deze categorie juridische verplichtingen, terwijl de administratiefrechtelijke boetes, die toezichthouders kunnen opleggen, ook nog eens recent fors verhoogd zijn. Over serieuze risico’s gesproken. Zelfs kunnen er digitaal-gerelateerde meldplichten uit overeenkomsten (onbenoemd en benoemd) ontstaan tegenover een contractspartij, alsook uit onrechtmatige daad, jegens een individu of organisatie die schade leidt door een dergelijk incident. Een en ander vraagt om een integrale juridisch-beleidsmatige aanpak van zowel (i) informatietechniek als (ii) bedrijfsinformatie per organisatie. Ook de wetgever kan beter zijn best doen. Eén maatregel, die zover bekend nergens op de agenda staat, betreft het opstellen van gedegen kwaliteitsnormen voor digitale technologie – in het bijzonder softwarecode – en de wettelijke borging ervan.

Mr. V.A. de Pous is bedrijfsjurist en industrie-analist. Hij houdt zich sinds 1983 bezig met de juridische aspecten van digitale technologie en informatiemaatschappij en is medewerker van uitgeverij FenceWorks.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *