De nieuwe meldplicht datalekken

Een nieuwe wet is in de maak. Het doel van de voorgestelde wet is het voorkomen van datalekken en, mocht er toch gelekt worden, de effecten ervan te beperken. Data lekken en dat niet melden wordt een dure grap als je het wetsvoorstel over de meldplicht mag geloven. Stel: een zorginstelling maakt gebruik van een elektronisch patiëntendossier in de cloud en het wordt gehackt. Dan moet de cloud-dienstverlener die het EPD levert dat zo snel mogelijk aan de zorginstelling melden. De zorginstelling moet vervolgens een melding maken bij het College bescherming persoonsgegevens (CBP). Als de melding niet gemaakt wordt, kan het CBP een boete opleggen, die op kan lopen tot € 450.000,- Of deze wet ook echt ingevoerd wordt is nog maar de vraag.

Het wetsvoorstel van 21 juni 2013 met de werktitel “meldplicht datalekken” bevat een meldplicht voor alle voor de verwerking verantwoordelijke publieke én private organisaties. Dus ook voor cloud-dienstverleners indien zij het doel en de middelen voor de digitale verwerking van de persoonsgegevens kiezen, oftewel “verantwoordelijke” zijn op grond van de wet. Er zou dan gemeld moeten worden bij de toezichthouder, het CBP. Het doel is het voorkomen van datalekken, en als ze zich al voordoen, de effecten ervan te beperken.

Het wetsvoorstel ziet toe op doorbrekingen van maatregelen voor de beveiliging van persoonsgegevens – niet op lekken vanwege fouten in de beveiliging. In de toelichting bij het wetsvoorstel noemt de wetgever DigiNotar als voorbeeld van een fout in de beveiliging van certificaten. U kent die affaire waarschijnlijk nog wel: de certificaat-aanbieder Diginotar die een groot deel van de certificaten voor de Nederlandse overheid verzorgde. Diginotar gaf (pas na een extern onderzoek) toe dat er fouten in procedures en systemen van het bedrijf zaten. Als data weglekt vanwege fouten, dan hoeft er niet gemeld te worden op grond van het wetsvoorstel ‘Meldplicht datalekken’. Dit onderscheid in het wetsvoorstel is wat mij betreft nogal artificieel. Mocht een fout leiden tot een datalek, dan lijkt me een melding tenminste net zo gewenst.

Alleen het datalek waarbij ‘redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen’ moet gemeld worden op grond van het wetsvoorstel. Staatssecretaris Fred Teeven heeft op 15 april j.l. voorgesteld de meldingsplicht in te perken: alleen datalekken met ernstige nadelige gevolgen hoeven gemeld te worden. Door de wijziging zijn een aantal open termen eruit gehaald en is de drempel voor de meldplicht opgehoogd. Niemand weet echter wat het verschil precies is. Samen met de andere afwegingen die je moet maken op grond van het wetsvoorstel, wordt het geheel hogere juridische wiskunde. Dus weinig objectief, transparant en al helemaal lastig zelf toe te passen.

Mocht de meldplicht toch zo ingevoerd worden, dan wordt het spannend: het CBP kan (op grond van het wetsvoorstel) een behoorlijke bestuurlijke boete opleggen.


Itte Overing is juridisch adviseur bij ICTRecht en gespecialiseerd in continuïteit, notice & takedown en gezondheidsrecht 2.0

Dit artikel verscheen op 27 mei 2014 op cloudrecht.nl en is met toestemming van de auteur op ISP Today gepubliceerd.