De regering stelt voor de Wet bescherming persoonsgegevens (Wbp) op verschillende punten te wijzigen. Zo zou onder meer het gebruik van camerabeelden met daarop strafrechtelijk relevante gedragingen volgens de regering wat moeten worden versoepeld (vermoedelijk in reactie op berichtgeving de afgelopen zomer over het plaatsen van beelden van inbrekers op internet...). Ook wil de regering wat wetstechnische wijzigingen doorvoeren. Hierop ga ik in dit bericht niet verder in.
Waar ik wel op in ga is de voorgestelde regeling van de meldplicht datalekken. Het wetsvoorstel introduceert een nieuw artikel 34a Wbp, waarin kort samengevat staat dat bij een inbreuk op beveiligingsmaatregelen de verantwoordelijke van die inbreuk zowel een melding moet doen bij het College Bescherming Persoonsgegevens als de personen wiens gegevens door de inbreuk (mogelijk) gecompromitteerd zijn op de hoogte moet stellen.
Geen meldplicht datalekken, maar meldplicht beveiligingsinbreuken
Opvallend is dat niet ieder datalek gemeld hoeft te worden, maar alleen iedere inbreuk op de maatregelen die (op grond van artikel 13 Wbp) genomen zijn om persoonsgegevens te beveiligen. Dat volgt letterlijk uit de tekst van het wetsvoorstel en ook de toelichting op het wetsvoorstel benadrukt dit nog eens:
Er is pas sprake van een datalek, wanneer die technische en organisatorische maatregelen niet hebben gefunctioneerd en de persoonsgegevens blootgesteld zijn aan een aanmerkelijk risico van verlies of onrechtmatige verwerking.
Dat veronderstelt dat er ook daadwerkelijk beveiligingsmaatregelen zijn genomen. De praktijk laat zien dat dit maar zeer de vraag is. Onder andere de berichtgeving rond "Lektober" heeft laten zien dat persoonsgegevens soms in het geheel niet beveiligd worden.
Het leidt bovendien tot in de praktijk lastig te verklaren verschillen. Een organisatie die geen enkele beveiligingsmaatregel heeft genomen en die vervolgens kampt met een datalek (zoals een losslingerende USB-stick), gaat straks vrijuit onder het nieuwe artikel 34a Wbp (waarschijnlijk schendt die organisatie wel artikel 13 Wbp, maar daarop staat geen boete). Dit terwijl een organisatie die zijn best doet en juist wel allerlei maatregelen neemt en vervolgens eveneens met een losslingerende USB-stick kampt, straks gedwongen is een melding te doen bij het College Bescherming Persoonsgegevens en een boete tot 200.000 euro kan verbeuren wanneer hij deze melding niet of niet tijdig c.q. volledig doet.
Vier vragen te stellen door instelling met inbreuk op beveiliging
Bovendien moet niet ieder datalek gemeld worden. De verantwoordelijke die wordt geconfronteerd met een (mogelijk) datalek moet zich afvragen:
- is er sprake van een inbreuk op de beveiligingsmaatregelen?
- zo ja, zijn de verwerkte persoonsgegevens daardoor blootgesteld aan een risico van verlies of onrechtmatige verwerking?
- zo ja, is dat risico op verlies of onrechtmatige verwerking ook aanmerkelijk?
- zo ja, is aannemelijk dat wanneer dat risico zich verwezenlijkt dit redelijkerwijs tot nadelige gevolgen voor de persoonsgegevens of de persoonlijke levenssfeer van de betrokkene leidt?
Antwoord op vraag 1 lastig
De eerste vraag is in de praktijk vermoedelijk lang niet altijd zo eenvoudig te beantwoorden. Een organisatie die zich geconfronteerd ziet met een bepaald onzeker incident (zoals ongewoon veel dataverkeer op het netwerk), zal eerst moeten toetsen wat er aan de hand is. Heeft dat incident betrekking op beveiligingsmaatregelen? Zo ja, zien die beveiligingsmaatregelen dan op de beveiliging van persoonsgegevens, of (ook) van andersoortige data? De meldplicht ziet namelijk alleen op het (risico op) uitlekken van persoonsgegevens.
Bovendien moet een organisatie die zich geconfronteerd ziet met een datalek zich afvragen of de oorzaak van dat datalek gelegen is het doorbreken van een genomen beveiligingsmaatregel, of dat het lek een andere oorzaak heeft (zie ook hiervoor). Alleen een inbreuk op die beveiligingsmaatregelen leidt tot een melding.
Antwoord op vraag 2 zal in de regel uit antwoord op vraag 1 volgen
Het antwoord op de tweede vraag zal vermoedelijk snel volgen uit het antwoord op de eerste vraag. Het lijkt waarschijnlijk dat als een beveiligingsmaatregel is doorbroken, de persoonsgegevens daarmee ook blootgesteld zijn aan een risico op verlies of onrechtmatige verwerking. Hoe groot dat risico is en of zich dat ook heeft verwezenlijkt lijkt voor beantwoording van deze vraag niet relevant. Het enkele bestaan van het risico lijkt voldoende om deze vraag positief te beantwoorden.
Antwoord op vraag 3 hangt af van alle omstandigheden van het geval
Dat brengt de verantwoordelijke automatisch bij de derde vraag: is dat risico aanmerkelijk? Volgens de toelichting hangt dit af van alle omstandigheden van het geval:
Of er sprake is van een aanmerkelijk risico is eveneens afhankelijk van de concrete feiten en omstandigheden. De aard van de inbreuk zal doorgaans van belang zijn bij het bepalen van de grootte van het risico. Het is niet goed mogelijk aan te geven of het verlies van een mobiele telefoon, de diefstal van een laptop of het zoekraken van een geheugenstick wel of geen aanleiding geeft een melding te doen. Of die noodzaak aanwezig is, is afhankelijk van de aard van de data die het betreft en het vermoedelijke risico dat de betrokkene en de verantwoordelijke lopen ingeval van zoekraken of onrechtmatige verwerking.
Ook antwoord op vraag 4 hangt af van alle omstandigheden van het geval
De vierde vraag is bedoeld om te voorkomen dat niet iedere inbreuk direct tot een melding leidt. Alleen inbreuken die waarschijnlijk leiden tot nadelige gevolgen voor de persoonsgegevens of de persoonlijke levenssfeer van de betrokkene moeten worden gemeld. Uit de toelichting van de regering blijkt opnieuw dat ook het antwoord op deze vraag in feite afhangt van alle omstandigheden van het geval:
Omvang en aard van de verwerking zijn mede bepalend voor de vraag of de verwezenlijking van het risico als nadelig voor persoonsgegevens en de bescherming van de persoonlijke levenssfeer moet worden aangemerkt. Het zoekraken of hacken van de ledenadministratie van een sportvereniging zal doorgaans leiden tot het nodige ongemak voor vereniging en leden, maar zal niet snel aanleiding geven tot een melding bij het Cbp. De gevolgen van een dergelijk datalek blijven doorgaans beperkt en ook van betrokkenen kan worden gevergd dat zij een zekere mate van risico aanvaarden. Dat is nu eenmaal onlosmakelijk verbonden met het normaal vertrouwen in maatschappelijke verhoudingen. Maar een datalek bij, bijvoorbeeld, de Belastingdienst of de Sociale Verzekeringsbank (SVB) of een commerciële bank of verzekeraar is doorgaans van geheel andere orde. Een datalek bij dergelijke instellingen kan leiden tot financieel nadeel bij de betrokkene of de compromittering van gegevens die beschermd worden door een geheimhoudingsplicht.
Of een melding gedaan moet worden is voor de betrokkene dus al met al helemaal niet zo eenvoudig te beoordelen. De beantwoording van de vragen 1, 3 en 4 roept immers allerlei vragen op. Het is dan ook niet verrassend dat de regering in de tekst van het voorstel de hoop c.q. de verwachting uitspreekt dat het Cbp met nadere richtlijnen zal komen:
Tenslotte mag van het Cbp worden verwacht dat het boetebeleidsregels zal vaststellen waarmee het college indirect enig houvast kan geven aan de praktijk. Daarin zal ook kunnen worden ingegaan op de invulling van de voorziening om nodeloze meldingen te voorkomen. Vermoedelijk zal het Cbp ook nog aanvullende voorlichting aan de praktijk geven.
Zowel melding aan Cbp als aan betrokkene
Volgens het wetsvoorstel moet een melding zowel aan het Cbp als aan de betrokkene (degene wiens gegevens door de inbreuk mogelijk getroffen zijn) worden gedaan. Opvallend is dat beide meldingen "onverwijld" moeten worden gedaan. Het lijkt er daarmee op dat beide meldingen op (bijna) hetzelfde moment, althans in ieder geval op korte termijn na elkaar, moeten worden gedaan.
Tegelijk staat echter in het zesde lid van het voorgestelde wetsartikel dat de melding aan de betrokkene achterwege kan blijven wanneer: "de verantwoordelijke naar het oordeel van het College gepaste technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft versleuteld zijn of anderszins onbegrijpelijk zijn gemaakt voor eenieder die geen recht heeft op kennisname van de gegevens".
Naar de letter van het wetsvoorstel moet de verantwoordelijke dus min of meer om "toestemming" vragen aan het Cbp om de melding aan de betrokkene achterwege te laten. Het is echter de vraag of dat zo bedoeld is. Gezien de tekst in de toelichting lijkt het er eerder op dat bedoeld is dat de verantwoordelijke bij een datalek in beginsel altijd eerst kan volstaan met een melding bij het Cbp, mits hij in die melding maar stelt dat naar zijn oordeel een melding bij de betrokkene(n) achterwege kan blijven vanwege de toepassing van encryptie of andere maatregelen. Het College kan vervolgens de verantwoordelijke op grond van lid 7 van het voorgestelde wetsartikel alsnog bevelen een mededeling te doen aan de betrokkene.
Het wetsvoorstel zou hiermee de populariteit van de toepassing van encryptie wel eens (enorm) kunnen doen vergroten. Wie immers encryptie hanteert op een niveau dat volgens het Cbp voldoet, hoeft geen melding te doen aan de betrokkene (en bespaart zich dus alle publicitaire gevolgen). En juist het gegeven dat een instelling gebruik maakt van dergelijke encryptie, vergroot - gezien onderstaande passage uit de toelichting op de wet - waarschijnlijk ook de kans dat het Cbp geen verdere actie onderneemt naar aanleiding van de melding:
Het is zeker geen gegeven dat het Cbp iedere melding laat volgen door een onderzoek of andere maatregelen. Een verantwoordelijke die handelt op de manier die van hem mag worden verwacht treft immers zelf zo spoedig mogelijk de nodige maatregelen om het datalek te dichten en herhaling van het voorval tegen te gaan. De verantwoordelijke zal ook bekend maken wat hij onderneemt. Een melding bij het Cbp zal in die gevallen veelal zonder enige reactie blijven.
Ik ben erg benieuwd of deze systematiek ook in de uiteindelijke wetstekst terug zal komen. De reden hiervoor is de volgende. Iedere computerdeskundige zal bevestigen dat iedere encryptiemethode te kraken is. Het uitvoeren van een kraak duurt soms wellicht alleen (extreem) lang. Met de opkomst van cloud computing is het echter heel eenvoudig mogelijk voor specifieke taken extreme (gecombineerde) rekenkracht in te huren door aaneenschakeling van vele computers op wereldschaal. Een hacker die een interessant (bijvoorbeeld EPD-gegevens, bancaire gegevens, gegevens omtrent chantabele personen, etc.) maar versleuteld bestand middels een hack heeft weet te bemachtigen, zal er veel aan gelegen kunnen zijn het bestand te ontsleutelen. Die hacker kan, in een poging de "sleutel" te zoeken, daarvoor veel rekenkracht inzetten. Die ontsleutelpoging van de hacker vindt geheel buiten beeld van de betrokkenen (wiens gegevens in het bestand staan) plaats. Aan hen hoeft immers niet gemeld te worden dat het bestand ontvreemd is; het bestand was immers versleuteld. Hoe reëel die kans op ontsleuteling is (hoe extreem veel rekenkracht nodig is) kan ik als jurist (niet-IT'er) lastig inschatten. Dat de cloud gebruikt wordt voor dergelijke kraakpogingen is mij echter uit het nieuws wel bekend. Het is dan ook de vraag of de rechtvaardiging voor de uitzondering op de notificatieplicht wel op gaat.
Stevige boete tot 200.000 euro
Op schending van alle verplichtingen van het nieuwe artikel 34a Wbp (enkele van die verplichtingen heb ik in dit artikel nog niet behandeld), staat volgens het wetsvoorstel een boete van maximaal 200.000 euro. Een forse sanctie, zeker ook wanneer bedacht wordt dat het Cbp tot op heden slechts een boete van maximaal 4.500 euro kan opleggen (voor schending van de meldingsplicht).
Opvallend is verder dat die boete voor aanbieders van openbare elektronische communicatiediensten door dit wetsvoorstel zou worden verlaagd. Op grond van het nog aanhangige wetsvoorstel waarin o.a. het nieuwe cookieverbod staat hebben (kort gezegd) telecomaanbieders namelijk straks een soortgelijke meldingsplicht als nu door de algemene meldplicht datalekken zou worden geïntroduceerd. Op schending van de meldingsplicht door telecomaanbieders zou een boete van maximaal 450.000 euro van de OPTA komen te staan. Wanneer deze wet omtrent de algemene meldplicht datalekken wordt aangenomen, verschuift die boetebevoegdheid naar het Cbp en geldt een maximale boete van 200.000 euro. Het is me niet duidelijk waarom de regering voor schending van soortgelijke verplichtingen zo kort na elkaar een verschil in boetemaxima van 250.000 euro wil introduceren.
Consultatieronde loopt tot 29 februari 2012
Voor de goede orde: het gepubliceerde wetsvoorstel betreft slechts een eerste conceptversie (de regering noemt het zelf versie 0.1). Dit document is bewust gepubliceerd om reacties uit te lokken vanuit de samenleving. Met de publicatie is namelijk tevens een consultatieperiode gestart. Een ieder kan via de website www.internetconsultatie.nl tot 29 februari 2012 laten weten wat hij van dit wetsvoorstel vindt. Zodra er meer nieuws is over dit wetsvoorstel, houden wij u op de hoogte.
