Blog Legal Look: Victor de Pous over handhaving
> Veel regels voor cloud computing: hoe zit het met de handhaving? We weten het inmiddels wel. ICT, of juister gezegd, digitale technologie en geautomatiseerde gegevensverwerking, kent een breed pakket aan wettelijke regels, waarbij wetgevers in Europa veelal het standpunt aanhangen dat telkens nieuwe en bijzondere wetgeving - uit oogpunt van rechtszekerheid, consumentenbescherming en/of stimulering van de 'een te maken' Europese markt - noodzakelijk is.
Daarnaast blijft het generieke recht, bijvoorbeeld vastgelegd in het Burgerlijk Wetboek of in intellectuele eigendomswetgeving, gewoon van toepassing, voor zover de bijzondere regels hiervan niet afwijken. Daarom mogen licenties voor standaardsoftwarepakketten worden doorverkocht ('tweedehands software'), wanneer de verkoper zijn eigen installatie ongedaan maakt en eventuele back-ups vernietigt; ook wanneer de licentieovereenkomst doorlevering verbiedt. Handhaving van wetgeving staat echter onder druk en de oorzaak toont zich opmerkelijk divers. De hoeveelheid dwingendrechtelijke voorschriften, de complexiteit van deze regels en de snelheid waarmee wetgeving uitbreidt of wijzigt. De Nederlandse implementatie van de Europese cookie-wetgeving getuigt hier onverkort van.
> Weegt de schaalgrootte ook mee? Zeker. Denk aan het illegaal downloaden van muziek; dat blijft dweilen met de kraan open. Of anders gezegd, vrijwel iedereen - overheidsorganisatie, bedrijf en burger - gebruikt ICT intensief en verwerkt allerhande gegevens. Alleen al wegens de schaalgrootte ontstaat er bewust of onbewust deviant gedrag. Dat laat onverlet dat we soms niet weten waarom er geen handhaving plaatsvindt. Die situatie doet zich voor bij het schenden van een cruciale beveiligingsverplichting. In beginsel rust op alle organisaties de plicht om de persoonsgegevens en de persoonlijke levenssfeer van hun klanten (burger, consument, patiënt, et cetera) op een passend niveau te beveiligen. In buiten- en binnenland zijn - soms zelfs grootschalige - privacy-inbreuken ongeveer aan de orde van de dag, terwijl slachtoffers hiervan doorgaans zelf geen verhaal halen of aangifte doen. Rechtspraak ontbreekt dus. Ondertussen stellen toezichthouders zich bedeesd op in de zin dat de bestuursrechtelijke boete niet of nauwelijks wordt opgelegd.
> Gaat deze omstandigheden veranderen? Dat ligt weliswaar al enige tijd in de rede, mede gelet op het aantal en de omvang van de inbreuken en het maatschappelijk belang van een veilige verwerking van persoonsgegevens, maar wapenfeiten ontbraken tot nu toe vrijwel geheel. Naar onlangs bekend werd, beboette de Autoriteit Consument en Markt KPN in 2013 voor het schenden van haar beveiligingsplicht voor de verwerking van persoonsgegevens, die op grond van de Wet bescherming persoonsgegevens geldt. Bingo. Dat besluit kan voor Nederland een omslagpunt beteken. Geen miljoenen, maar de 364.000 euro betreft een duidelijk en niet mis te verstaan signaal. Zorg dat je je beveiliging op orde hebt, waarschuwt de toezichthouder. Het wettelijk voorgeschreven 'passend beveiligingsniveau' vertaalt zich in maatregelen die rekeningen houden met de stand der techniek, de kosten van de te nemen maatregelen en het risico op doorbreking van de bescherming. KNP vond de boete maar niets en daagde de toezichthouder voor de Rotterdamse rechter. Die oordeelde begin januari dat ACM terecht aan KPN een boete heeft opgelegd. Tegen deze uitspraak van de rechtbank heeft KPN hoger beroep ingesteld bij het College van Beroep voor het Bedrijfsleven (CBb). Wat dit college in tweede instantie ook besluit, het handhavingsnet wordt aangetrokken.
Mr. V.A. de Pous is bedrijfsjurist en industrie-analist. Hij houdt zich sinds 1983 bezig met de juridische aspecten van digitale technologie en informatiemaatschappij en is medewerker van uitgeverij FenceWorks.