Debat over Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp
27 mei 2015
De Eerste Kamer heeft dinsdag 26 mei met staatssecretaris Dijkhoff (Veiligheid en Justitie) gedebatteerd over de Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp. Dit wetsvoorstel voegt aan de Wet bescherming persoonsgegevens een meldplicht voor inbreuken op beveiligingsmaatregelen voor persoonsgegevens toe. Met de meldplicht datalekken wil de regering de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken en hiermee een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens. Na het debat met de staatssecretaris werd het wetsvoorstel met algemene stemmen aanvaard. Het was het eerste optreden van de staatssecretaris in de Eerste Kamer in deze functie.
Publiek vertrouwen in digitale gegevensverwerking vergroot
Senator Franken (CDA) stelde dat zijn fractie het doel van de meldplicht en de andere plichten met betrekking tot datalekken of ernstige incidenten in elektronische bedrijfsvoering onderschrijft. Hierdoor kan het vertrouwen van het publiek in digitale gegevensverwerking worden vergroot. Wel stelde de senator dat artikel 34a onvoldoende voorzienbaar en kenbaar is. Hier staat dat er sprake is van een inbreuk op de beveiliging als deze leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Volgens Franken kan het College bescherming persoonsgegevens (Cbp) weliswaar bindende aanwijzingen geven, maar is het voor de burger onvoldoende helder wanneer sprake is van een normovertreding. De senator vroeg de minister dan ook om dit artikel verder te duiden.
Onduidelijkheid over meldplek
Senator Ter Horst (PvdA) merkte op dat haar fractie de mogelijkheid voor het College bescherming persoonsgegevens om een bestuurlijke boete op te leggen, positief beoordeelt. Dit geldt ook voor de verplichting om een overzicht bij te houden van potentiele of echt ernstige lekken, die de melder zelf aan de toezichthouder heeft gemeld. Volgens Ter Horst is het echter onduidelijk of een datalek daadwerkelijk aan het College bescherming persoonsgegevens dan wel aan betrokkenen moet worden gemeld. De senator vroeg of de staatssecretaris de richtsnoer van het Cbp over dit onderwerp aan de Eerste Kamer wil zenden, zodat zij zich daar te zijner tijd een oordeel over kan vormen. Ter Horst uitte zorgen over aantal meldingen van datalekken en vroeg of het College bescherming persoonsgegeven jaarlijks over de aard en omvang van de meldingen kan rapporteren. Ook vroeg zij hoe de staatssecretaris de veelheid aan meldplichten in de private en publieke sector beoordeelt.
Bescherming van de eindgebruiker
Senator Gerkens (SP) sprak in haar bijdrage mede namens de fractie van GroenLinks. Zij merkte op dat het voor geen enkele organisatie prettig is om te melden dat er ingebroken is in het digitale systeem. Bovendien vragen veel bedrijven onnodig veel gegevens, waardoor het risico op datalekken wordt vergroot. Volgens Gerkens moet bij de dienstaanbieder de mindset op het gebied van veiligheid veranderen. Ook gebruikers moeten goed nadenken wat zij achterlaten in de digitale wereld. Gerkens betoogde dat onvoldoende duidelijk is hoe aanbieders hun klanten precies moeten informeren over (mogelijke) datalekken. Het wetsvoorstel verbetert volgens Gerkens dus wel de mogelijkheden van het Cbp en de bewustwording van de aanbieder, maar beschermt nog te weinig de eindgebruiker. Zij vroeg de staatssecretaris welke waarborgen hiervoor worden ontwikkeld en of hij bereid is om bedrijven die zijn aangesloten bij de KvK eenmalig een brief te sturen over de implicaties van deze wet en de Wet bescherming persoonsgegevens. Tot slot stelde de senator voor dat het Cbp aangeeft hoe lang informatie van gebruikers die melding maken van een lek bewaard mag worden.
Antwoord regering
Staatssecretaris Dijkhoff (Veiligheid en Justitie) merkte op dat het wetsvoorstel twee hoofdonderwerpen kent: een algemene meldplicht voor datalekken en een uitbreiding van de bevoegdheid van de Cbp. Deze dat na aanvaarding van het wetsvoorstel 'Autoriteit Persoonsgegevens' heten.
De staatssecretaris stelde dat de nu voorgestelde meldplicht niet alomvattend is. Op termijn wordt deze vervangen door een Europese meldplicht en bovendien zijn er voor specifieke sectoren aparte meldplichten. Nederland loopt op dit terrein bepaald niet achter. De bewaartermijn van meldgegevens van datalekken is volgens Dijkhoff niet vastgesteld, vanwege de hoge omloopsnelheid systemen en om te voorkomen dat deze informatie op termijn wordt 'weggegooid'. De staatssecretaris zal aan het Cbp overbrengen dat er een wens is in de Eerste Kamer om hier toch een bepaalde termijn aan te verbinden. Op verzoek van senator Franken is deze termijn minstens een jaar.
Het aantal datalekken wordt door het Cbp gemonitord en jaarlijks gepubliceerd, aldus de staatssecretaris.
Over de richtsnoeren voor dienstaanbieders merkte hij op dat deze worden voorgelegd aan het parlement. Het CBP zal hiertoe ook overleg voeren met de minister van Binnenlandse Zaken en Koninkrijksrelaties en de staatssecretaris van Veiligheid en Justitie. De implicaties van wetsvoorstel zullen volgens Dijkhoff in de relevante sectoren breed bekend worden gemaakt. De ruimte om wettelijke normen op detailniveau uit te werken is volgens de staatssecretaris echter beperkt. Als de norm heel specifiek is, weet iedereen waar hij aan toe is. Maar dan is het wel snel achterhaald. Om die reden is ervoor gekozen om de norm ruim te formuleren. Deze mag echter niet zo ruim zijn dat bedrijven niet meer weten wat er van hen wordt verwacht. Bij het vaststellen van de meldplicht van bedrijven speelt zowel het technische risico van het lek als de kwetsbaarheid van de informatie een rol.