Opmerkingen door bijna alle partijen
In het verslag zijn opmerkingen gemaakt door VVD, PvdA, CDA, SP (waarbij GroenLinks zich aansluit) en D66. Drie van deze partijen, namelijk PvdA, CDA en D66 vragen zich af wanneer de meldplicht straks van toepassing is. Toch een vrij fundamentele vraag. De VVD stelt vragen over de informatievoorziening aan de betrokkene (en ook bijv. vragen over rechtszekerheid, verhouding tot de WOB, etc.). De SP en GroenLinks leden gaan niet echt inhoudelijk op het voorstel in.
De citaten uit het verslag spreken eigenlijk wel voor zich. In mijn bericht volsta ik hier dan ook mee.
CDA: norm voor meldplicht te vaag
Zo merkt het CDA het volgende op:
Hoewel ook bij de behandeling in de Tweede Kamer de "onbepaaldheid" van de wettelijke verplichting voor de burger uitgebreid is ter sprake gekomen, is het voor de leden van de CDA-fractie nog niet volstrekt helder hoe deze norm voldoende duidelijk, voorzienbaar en kenbaar zal zijn (lex certa beginsel). Het is immers voor bedrijven en overheden van belang om aan de hand van feiten en omstandigheden van het concrete geval te kunnen beoordelen of een datalek binnen het bereik van de meldingsplicht valt. De voorgestelde oplossing is dat het Cbp door middel van richtsnoeren een nadere verduidelijking zal geven.
(...)
Deze procedure is op papier duidelijk, maar het blijft voor de burger moeilijk om te weten wanneer er van een relevante inbreuk op een beveiliging sprake is. Het gaat dan niet aan om – zoals de regering doet – te volstaan met een verwijzing naar het feit dat de normstelling in de Wbp nu eenmaal als algemeen-abstract kan worden gekenschetst in verband met de grote diversiteit aan verwerkingen van persoonsgegevens in de private en publieke sector.
(...)
Deze aanpak leidt tot de aanzienlijke kans dat het Cbp uit angst voor formidabele boetes met veel onnodige c.q. onterechte meldingen zal worden geconfronteerd of juist dat de burgers wegens de onduidelijkheid van de normstelling schouderophalend aan "het hele gedoe" zullen voorbijgaan. Gaarne vernemen de aan het woord zijnde leden het standpunt van de regering hieromtrent.
PvdA-fractie: norm niet eenduididig
Ook de PvdA-fractie wijst op de vrij wollige wetstekst:
Is de regering met de leden van de PvdA-fractie van mening dat de gekozen omschrijving – aanzienlijke kans op ernstig nadelige gevolgen − niet eenduidig is en voor organisaties problemen kan opleveren bij het beoordelen of zij een datalek moeten melden of niet? Acht de regering de verwachting reëel dat organisaties/instellingen als beleidslijn "better safe than sorry" zullen kiezen en vaker dan nodig is datalekken zullen melden? En zou daar dan niet juist de situatie kunnen ontstaan die de regering wil voorkomen, zoals aangegeven in haar reactie op het voorstel van Bits of Freedom, namelijk dat te veel en te vaak overbodig wordt gemeld?
D66: concrete voorbeelden vereist
Vanuit D66 worden soortgelijke opmerkingen geplaatst:
Dit artikel is als algemeen abstracte norm geformuleerd. Vanwege het lex certa beginsel vragen de leden van de D66-fractie of de regering voorbeelden kan geven van inbreuken die in het concrete geval zullen vallen onder het toepassingsbereik van genoemd artikel, voorbeelden die betrekking hebben op inbreuken die leiden tot de aanzienlijke kans op ernstige nadelige gevolgen als ook voorbeelden die betrekking hebben op inbreuken die ernstige nadelige gevolgen tot gevolg hebben.
VVD: norm informatievoorziening niet duidelijk
De VVD heeft niet zozeer vragen over de meldplicht als zodanig, maar vindt kennelijk wel onduidelijk wat de informatievoorziening aan de betrokkenen nu concreet inhoudt:
In het voorgestelde artikel 34a, vijfde lid, wordt bepaald dat de kennisgeving aan betrokkenen van datalekken op zodanige wijze wordt gedaan dat een behoorlijke en zorgvuldige informatievoorziening is gewaarborgd. De leden van de VVD-fractie vragen de regering om voorbeelden te geven wanneer wel en wanneer niet sprake is van zo'n behoorlijke en zorgvuldige informatievoorziening. Ook vernemen zij graag of de verantwoordelijke, als sprake is van tienduizenden of meer betrokkenen, kan volstaan met een algemene kennisgeving in verschillende media. Of moeten ook dan alle betrokkenen individueel worden geïnformeerd?
SP/Groenlinks: geen inhoudelijk commentaar, wet had ruimer gemoeten
Vanuit SP en Groenlinks wordt niet zozeer opgemerkt dat de huidige meldplicht onduidelijk is, maar vooral dat deze te beperkt is. Zij zijn van mening dat er eigenlijk een veel bredere meldplicht geintroduceerd had moeten worden. Gelet op het ontbreken van het recht van initiatief voor de Eerste Kamer kan ik die opmerkingen verder niet zo goed plaatsen (tenzij ze een novelle verwachten, maar daar lijken ze niet op aan te sturen). Wat deze leden nu van het huidige wetsvoorstel vinden, wordt me niet echt duidelijk uit het verslag.
Tenslotte
Het is afwachten hoe de regering gaat reageren op deze vragen. Het geeft wel te denken dat de fundamentele vraag op welke situaties de wet eigenlijk van toepassing is (zou moeten zijn), na de behandeling in de Tweede Kamer kennelijk nog niet is opgehelderd. Dit bevestigt eens te meer dat het goed zou zijn dat nog voor het van kracht worden van de wet er beleidsdocumenten worden opgesteld die meer concreet maken welke situaties wel en welke niet onder de nieuwe meldplicht vallen. Nog beter zou het zijn als de wet zelf duidelijker zou worden, maar daarvoor is het denk ik al te laat.
