Passages uit memorie van antwoord
In de voorbereiding op de plenaire behandeling is door de regering gisteren een memorie van antwoord ingediend. Dat document bevat enkele interessante passages. In dit bericht zet ik enkele van deze passages op een rij en voorzie deze (soms) van enig commentaar.
Regering: wet niet al te letterlijk lezen
Al op pagina 2 van de memorie staat een heel opvallende passage over het toepassingsbereik van de wet. Dit is zo opvallend omdat het er hierdoor toch wel iets van weg heeft dat de wetgever kennelijk iets anders bedoelt te regelen, dan dat in de wettekst is verwoord. Ik zal dit hierna toelichten.
De wet meldplicht datalekken is van toepassing wanneer sprake is van een "inbreuk op de beveiliging (...)" (gevolgd door nadere criteria). Strikt genomen staat hier dus dat wanneer geen sprake is van beveiliging(smaatregelen), er ook geen inbreuk en (dus) geen meldplicht is.
Die conclusie vindt de regering kennelijk echter wat te gortig. De regering betoogt dan ook dat de woorden "doorbroken beveiliging" (kennelijk is bedoeld: "inbreuk op de beveiliging") ruim moet worden gelezen. Of daarmee nu echter duidelijker is geworden wanneer de wet van toepassing is, waag ik te betwijfelen. Oordeel zelf:
Deze leden stellen vervolgens vast dat de meldplicht, ondanks dat de titel van het wetsvoorstel anders doet vermoeden, alleen betrekking heeft op een doorbroken beveiliging. Hoewel deze leden aan deze constatering geen vraag verbinden, merk ik daarover graag het volgende op. Hoewel de ruimere aanduiding in het opschrift («meldplicht datalekken») inderdaad anders zou doen vermoeden, is de meldplicht nadrukkelijk bedoeld voor situaties waarin sprake is van een doorbreking van technische en organisatorische maatregelen die voor de beveiliging van persoonsgegevens zijn getroffen. Zoals in het nader rapport en de nota naar aanleiding van het verslag (nrs. 4 en 6) is aangegeven, mag hieraan niet de conclusie worden verbonden dat indien een verantwoordelijke in het geheel geen beveiligingsmaatregelen heeft getroffen, de meldplicht niet van toepassing is. In dit opzicht beoogt het wetsvoorstel een ruime uitleg van een «doorbroken beveiliging». Tegelijkertijd is het element van een doorbroken beveiliging van belang in de afgrenzing van de reikwijdte van de meldplicht voor datalekken ten opzichte van andere situaties, waarin niet noodzakelijkerwijs sprake hoeft te zijn van een doorbroken beveiliging van persoonsgegevens, zoals bijvoorbeeld het schenden van een geheimhoudingsverplichting ten behoeve van het aan de kaak stellen van een misstand in een organisatie (klokkenluiden) of waarin sprake is van een aantasting van voorzieningen van algemene aard en niet van specifieke, op beveiliging van persoonsgegevens gerichte voorzieningen, zoals het geval is bij een brand die (delen van) een of meerdere bedrijfsgebouwen kan betreffen.
Wat mij betreft hadden dit soort discussies eenvoudig voorkomen kunnen worden, door de meldplicht datalekken ook als een "meldplicht datalekken" op te bouwen (dus melden als gegeven op straat (dreigen te) liggen) en niet als een "meldplicht inbreuken op (wel of niet getroffen?) beveiligingsmaatregelen". Maar goed, dat stadium in het wetgevingsproces zijn we gepasseerd.
Dat maakt de discussie echter niet minder relevant. Naar mijn verwachting zal de eerste partij die een boete opgelegd gaat krijgen door het CBP namelijk, onder meer gelet op het voorgaande (en het lex certa beginsel), de toepasselijkheid van de wet betwisten. Zou dat betoog in dat geval door de rechter gehonoreerd worden, dan zou de meldplicht datalekken danig aan kracht verliezen. We zullen volgen hoe deze discussie zich verder ontwikkelt.
Geen boete bij adequate beveiliging
De regering erkent verder (gelukkig voor de praktijk) dat geen enkele beveiliging perfect is. Een hack kan dus ook bij deugdelijke beveiliging nog steeds plaatsvinden. Het zou wat al te zuur zijn als een bedrijf/instelling die slachtoffer is van een dergelijke hack, ondanks de investeringen in beveiliging, toch ook nog een boete zou krijgen van het CBP. Dat is volgens de regering dan ook niet passend:
Indien de ondernemer de door hem verwerkte persoonsgegevens adequaat heeft beveiligd, zie ik geen grond voor het opleggen van een bestuurlijke boete door het Cbp. Zoals onder andere in de nota naar aanleiding van het verslag (nr. 6) is opgemerkt, kan een datalek zich ook voordoen als sprake is van een adequate beveiliging. Dat wil zeggen dat de beveiligingsmaatregelen rekening houden met de stand van de techniek en de kosten van de tenuitvoerlegging, gelet op de risico’s die de verwerking en de aard van de te beschermen persoonsgegevens met zich brengen. Een boete voor overtreding van de beveiligingsverplichting van artikel 13 Wbp is dan niet aan de orde. Zou de ondernemer nalaten om de betrokkene in te lichten terwijl er wel ongunstige gevolgen voor diens persoonlijke levenssfeer zijn te duchten, dan kan het Cbp uiteraard wel een bestuurlijke boete opleggen.
Voorbeelden meldplicht bij verschillende situaties
Wanneer er precies gemeld moet gaan worden zal nader uitgewerkt gaan worden in beleidsregels. Uit de memorie van de regering zijn al wel enkele situaties af te leiden.
Het gaat dan bijvoorbeeld over het uitlekken van inloggegevens:
Op grond van het voorgestelde artikel 34a Wbp, zullen de eigenaren van een website, wanneer zij aangaande hun website, al dan niet door tussenkomst van het NCSC van een diefstal van inloggegevens op de hoogte raken, in elk geval het Cbp moeten informeren en daarnaast ook de getroffen personen, indien waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van deze personen te verwachten zijn.
Het uitlekken van financiele gegevens:
Deze leden vragen voorts of de regering hun opvatting deelt dat het informeren van de klant zeker moet gebeuren bij ieder lek waarbij financiële gegevens van de klant betrokken zijn. Ik ben met deze leden van mening dat een datalek waarbij financiële gegevens in verkeerde handen zijn gevallen nadelige gevolgen kan hebben voor de persoonlijke levenssfeer van de betrokkene. Het informeren van de betrokkene, naast uiteraard het Cbp, ligt naar mijn mening dan ook in de rede.
Het stelen van laptops met veel bijzondere persoonsgegevens:
Vier laptops zijn gestolen bij een gezondheidscentrum voor kinderen. De laptops bevatten gevoelige gegevens over gezondheid en welzijn en andere persoonsgegevens van meer dan 2000 kinderen.
Een bug waardoor gevoelige persoonsgegevens zijn of konden worden ingezien:
Bij een levensverzekeraar waren persoonsgegevens ongeoorloofd ingezien als gevolg van een kwetsbaarheid in een webapplicatie. Van 700 personen konden naam, adres en formulieren met medische gegevens worden ingezien.
Het uitlekken van inloggegevens waardoor grootschalig persoonsgegevens konden worden ingezien:
Een medewerker van een internetprovider heeft zijn login/wachtwoordgegevens aan een derde partij gegeven die daardoor nagenoeg onbeperkt bij alle klantgegevens (meer dan 100.000) kon komen.
Het niet versnipperen van een grote hoeveelheid papieren betalingsgegevens (kritische noot: de vraag is of de Wbp uberhaupt op deze papieren verwerking van toepassing is):
Een envelop met credit card betalingsgegevens van 800 personen was per ongeluk niet versnipperd, maar in een vuilnisbak gegooid. Een derde persoon haalde de gegevens uit de vuilniscontainer op straat en verstrekte ze aan andere personen.
Het verloren gaan van financiële gegevens, zonder dat deze ook op straat liggen:
De versleutelde laptop van een financieel adviseur is uit de auto gestolen. Financiële gegevens (hypotheken, salarissen, leningen) van 1000 personen waren betrokken. Hoewel het wachtwoord van de laptop niet gecompromitteerd is, was er geen back-up voorhanden.
Het uitlekken van met een onveilige hash-methode versleutelde database:
Op de website van een telefoonbedrijf kunnen klanten inloggen en hun financiële gegevens en belgegevens kunnen inzien. Een derde partij heeft toegang gekregen tot de database met inlognamen en bijbehorende verhaspelde (onleesbaar gemaakte) wachtwoorden. Het is echter mogelijk dat bepaalde wachtwoorden achterhaald kunnen worden.
Het bestaan van een bug in software die (theoretisch) toegang gaf tot andere accounts:
Een internetprovider biedt de gebruikers de mogelijkheid om details van hun account te zien, zoals onder andere historische zoekgegevens en vaak bezochte websites. Door een fout in de website had eenieder via een simpele truc de mogelijkheid om de accounts van andere gebruikers vrijelijk in te zien. Zonder een sluitende logging is hier niet vast te stellen of dat daadwerkelijk is gebeurd en welke gegevens dan zijn geraadpleegd.
Meldplicht geldt indirect ook voor financiële instellingen
De Eerste Kamer heeft ook diverse vragen gesteld over de status van financiële instellingen met betrekking tot de meldplicht. Het wetsvoorstel is namelijk niet op hen van toepassing. De regering wijst er echter op dat uit de zorgplicht van financiële instellingen een meldplicht voortvloeit:
(...) het tiende lid van artikel 34a, bevat een uitzondering voor financiële ondernemingen als bedoeld in het Wet op het financieel toezicht (Wft). Deze zijn uitgezonderd van de wettelijk verplichte melding aan de klanten in verband met potentieel verstrekkende consequenties van dergelijke openbare kennisgevingen in de financiële sector. Financiële ondernemingen hebben overigens de verplichting al om incidenten, waaronder ICT-incidenten, te melden aan de toezichthouders indien die incidenten een ernstig gevaar vormen voor de integere bedrijfsuitoefening. De zorgplicht van de financiële onderneming (art. 4:24a Wft) zal daarnaast waarborgen dat zij ook zonder dat dit dwingend wordt voorgeschreven haar verantwoordelijkheid jegens haar cliënten, in rechtstreeks contact met die cliënten, zal nemen. Dat doen deze ondernemingen nu al met betrekking tot incidenten onder de Wft en dat zal niet anders zijn ten aanzien van datalekken onder dit wetsvoorstel. Artikel 4:24a Wft kan zo nodig door de Autoriteit Financiële Markten worden gehandhaafd. Aan de door deze leden gesuggereerde zelfregulering bestaat mijns inziens, in het licht van het bovenstaande, geen behoefte.
Onduidelijk hoe lang overzicht inbreuken moet worden bewaard
Het wetsvoorstel verplicht bedrijven, instellingen en overheden om een overzicht bij te houden van de inbreuken op de beveiliging. Op het niet bijhouden van dit overzicht staat dezelfde boete als op het niet naleven van de meldplicht (maximaal 810.000 euro of 10% van de omzet).
Opvallend is dat nergens in de wet staat hoe lang dit overzicht moet worden bewaard. De Eerste Kamer had daarover dan ook vragen gesteld. De regering geeft echter geen antwoord op deze vragen. De verantwoordelijkheid voor het voldoende lang bewaren van het overzicht wordt door de regering bij de verantwoordelijken zelf gelegd.
Ingevolge het achtste lid moeten bepaalde gegevens van de melding aan het Cbp intern binnen het bedrijf of (overheids)organisatie worden geadministreerd, zodat daarvan een overzicht ontstaat. Het betreft de feiten en gegevens omtrent de aard van de inbreuk alsmede de tekst van de kennisgeving aan de betrokkene. Het wetsvoorstel bevat geen verplichting om het overzicht openbaar te maken en ook geen verplichte bewaartermijn, kan ik deze leden antwoorden. Het is aan het desbetreffende bedrijf of de (overheids)organisatie zelf om te bepalen hoe lang het overzicht bewaard blijft, voor welke doeleinden, en in welke vorm.
Dit lijkt me, mede gezien de zeer forse boetebevoegdheid, een onwenselijke situatie. Het is te hopen dat het CBP in de eigen beleidsregels hierover wel helderheid verschaft.
Volgens regering geen gevaar op uitlekken gegevens via WOB
Er zijn verder vragen gesteld over het gevaar van het via de Wet openbaarheid bestuur bekend worden van de meldingen over datalekken die bij het CBP zijn gedaan. De regering stelt dat dit risico meevalt, nu er allerlei uitzonderingen in de WOB zijn opgenomen:
Naar het oordeel van de regering hoeven ondernemingen niet voor zulke effecten te vrezen. De Wob biedt een goed niveau van bescherming van de verstrekte informatie. Ik wijs op de in de Wob opgenomen uitzonderingsgronden die stellen dat openbaarmaking van informatie achterwege blijft voor zover het vertrouwelijk aan de overheid meegedeelde bedrijfs- en fabricagegegevens betreft (artikel 10, eerste lid, onder c) en voor zover het belang van openbaarmaking niet opweegt tegen het belang om onevenredige benadeling van bij de aangelegenheid betrokken natuurlijke personen of rechtspersonen dan wel van derden te voorkomen (artikel 10, tweede lid, onder g).
Voor de volledigheid wijs ik er op dat ook andere weigeringsgronden van de Wob bij de meldplicht datalekken van belang kunnen zijn, zoals de veiligheid van de staat (artikel 10, eerste lid, onder b), het belang van opsporing en vervolging (artikel 10, tweede lid, onder c), het belang van inspectie, controle en toezicht door bestuursorganen (artikel 10, tweede lid, onder d) en de eerbiediging van de persoonlijke levenssfeer (artikel 10, eerste lid, onder d, en tweede lid, onder e).
Van een spagaat waarover deze leden spreken, is mijns inziens dan ook geen sprake. Ondernemingen hebben geen enkele reden om melding van een datalek aan het Cbp achterwege te laten. Doen zij dat wel, dan lopen ze inderdaad het risico een boete te krijgen. De meldplicht draagt bij aan het vertrouwen in de informatiemaatschappij hetgeen van groot belang is voor onze economie.
Ik ben geen expert op het gebied van de WOB. De praktijk zal echter laten zien of de redenering van de regering helemaal sluitend is. Zo kan ik me namelijk voorstellen dat de weigeringsgronden tot gevolg hebben dat bepaalde details van, of meer algemene informatie over, meldingen wel degelijk openbaar worden (bijv. "hoe vaak heeft bedrijf x een melding gedaan?").
Ingeschakelde bewerker kan medepleger zijn
Bewerkers kunnen dankzij het wetsvoorstel zich niet langer volledig verschuilen achter de verantwoordelijke. De regering merkt namelijk expliciet op dat bewerkers onder omstandigheden als "medepleger" kunnen worden aangemerkt (en dus ook een boete opgelegd kunnen krijgen):
De medepleger als bedoeld in artikel 5:1, tweede lid, van de Awb, is degene die naast de pleger, de overtreding pleegt. Een door de verantwoordelijke ingeschakelde bewerker zou onder omstandigheden een medepleger kunnen zijn. Bij het medeplegen moet sprake zijn van een voldoende nauwe en bewuste samenwerking bij het begaan van de overtreding, waarbij het aandeel van een medepleger van voldoende gewicht moet zijn (vgl. HR 2 december 2014, ECLI:NL:HR:3474).
Ook bestuurders van rechtspersonen kunnen beboet worden
De Eerste Kamer heeft diverse vragen gesteld over de mogelijkheid van het beboeten van de bestuurders van rechtspersonen. De regering wijst er op dat dit (onder omstandigheden) straks inderdaad mogelijk zal zijn, maar dat beboeting van de rechtspersoon wel meer voor de hand ligt.
Bij een rechtspersoonlijkheid bezittende onderneming is de rechtspersoon de verantwoordelijke in de zin van de Wbp. Aangezien de verantwoordelijke in de zin van de Wbp de drager is van rechten en verplichtingen, ligt het voor de hand dat het Cbp in geval van overtreding door een rechtspersoon (verantwoordelijke) de rechtspersoon daarvoor een bestuurlijke boete oplegt. Dit neemt echter niet weg dat daarnaast of plaats daarvan natuurlijke personen binnen deze rechtspersoon kunnen worden beboet indien zij feitelijk leiding hebben gegeven respectievelijk opdracht hebben gegeven tot het verrichten van de verboden gedraging en hebben nagelaten om maatregelen te treffen ter voorkoming van een verboden gedraging en daarmee bewust de kans wordt aanvaard dat deze gedraging zal plaatsvinden. Deze natuurlijke personen kunnen bestuurders zijn van de onderneming, maar het kunnen ook andere personen zijn binnen de organisatie. De boete zal in de praktijk eerder worden opgelegd aan de rechtspersoon. Het beboeten van feitelijk leidinggevenden of feitelijke opdrachtgevers brengt immers een zwaardere bewijslast mee omdat de toezichthouder aannemelijk moet maken dat de natuurlijke persoon daadwerkelijk feitelijk leiding heeft gegeven of feitelijk opdracht heeft gegeven tot het verrichten van de verboden gedraging en heeft nagelaten om maatregelen te treffen om de verboden gedraging te voorkomen.
Rechtspersoon mag boete opgelegd aan bestuurders vermoedelijk niet betalen
De regering wijst er verder op dat een arbeidsovereenkomst waarin staat dat een dergelijke boete toch door de rechtspersoon zal worden vergoed, wel eens nietig zou kunnen zijn (de regering is terughoudend zich heel expliciet uit te spreken):
Deze leden vragen zich voorts af, of een feitelijk leidinggevende en een verantwoordelijke in hun arbeidsovereenkomst kunnen vastleggen of anderszins overeenkomen dat in voorkomende gevallen de verantwoordelijke de feitelijke opdrachtgever of feitelijk leidinggevende compenseert ter waarde van de hoogte van de boete. Deze vraag laat zich, bij de huidige stand van de jurisprudentie, niet eenduidig beantwoorden. Artikel 3:40 BW vormt een begrenzing van de contractsvrijheid van partijen. Artikel 3:40, eerste lid, bepaalt dat een rechtshandeling die door inhoud of strekking in strijd is met de goede zeden of de openbare orde, nietig is. In aanmerking nemend dat de wetgever met een bestuurlijke boete beoogt dat de wetsovertreder die boete ook zelf in zijn eigen vermogen zal voelen (leedtoevoeging), onder meer als prikkel en afschrikking om in volgende aangelegenheden geen overtreding meer te begaan, lijkt het zeer wel voorstelbaar dat een contractuele afspraak als gevolg waarvan de boete wordt gedragen door een ander dan de persoon aan wie die is opgelegd, door de rechter in strijd met de openbare orde ex artikel 3:40 BW wordt geacht. In twee uitspraken van 16 december 2014 van het Gerechtshof ’s-Hertogenbosch heeft het Hof ambtshalve overwegingen van die strekking opgenomen, evenwel zonder hierover tot een inhoudelijk oordeel te komen (Gerechtshof ’s-Hertogenbosch 16 december 2014, Rechtspraak Arbeidsrecht 2015/34 en 2015/43). Tegelijkertijd is het de vraag of, in de context van de Wbp, categorisch – dus in alle gevallen waarin een norm wordt geschonden en als gevolg daarvan een bestuurlijke boete wordt opgelegd – kan worden gesteld dat een contractuele afspraak als gevolg waarvan de boete wordt gedragen door een ander dan de persoon aan wie die is opgelegd, ontoelaatbaar is. In voorkomende gevallen zal uiteindelijk de rechter hieromtrent duidelijkheid moeten verschaffen.
De vraag is wel hoe deze passage zich verhoudt tot bestuurdersaansprakelijkheidsverzekeringen. De regering overweegt immers wel in erg algemene bewoordingen dat "een contractuele afspraak als gevolg waarvan de boete wordt gedragen door een ander dan de persoon aan wie die is opgelegd" waarschijnlijk nietig is. Ook hier zal moeten worden bezien hoe de praktijk zicht ontwikkelt.
Ten slotte
Tot zover enkele passages uit de wetsgeschiedenis, met her en der een korte toelichting. Het is nu afwachten wat de plenaire behandeling in de Eerste Kamer nog brengt. Mogelijk wordt het wetsvoorstel zonder beraadslaging als hamerstuk aangenomen, mogelijk vindt toch nog inhoudelijke discussie plaats. We blijven het volgen.
