Samenvatting wetsvoorstel
De wet die nu ter goedkeuring bij de Eerste Kamer ligt houdt, heel in het kort, het volgende in:
- veel inbreuken op beveiligingsmaatregelen zullen straks moeten worden gemeld bij het College Bescherming Persoonsgegevens ('hacks', datalekken, etc.);
- als de inbreuk waarschijnlijk privacygevolgen heeft voor de betrokken consument, moet ook de consument worden geinformeerd, tenzij de gegevens die gehackt zijn al voldoende versleuteld waren;
- er moet bovendien een overzicht worden bijgehouden van alle inbreuken die zijn gemeld;
- in bewerkersovereenkomsten moeten voortaan ook afspraken worden gemaakt over de nakoming van alle verplichtingen rondom beveiligingsinbreuken;
- de bestaande boete op schending van de meldplicht of het exportverbod wordt verhoogd van 4.500 euro naar 20.250 euro;
- het College Bescherming Persoonsgegevens krijgt de bevoegdheid om op andere overtredingen van de wet een boete op te leggen tot maximaal 810.000 euro;
- die hogere boete mag echter alleen worden opgelegd nadat het College een bindende aanwijzing aan de overtreder heeft gegeven, tenzij de overtreding opzettelijk is begaan of het gevolg is van ernstige verwijtbare nalatigheid;
- het College mag bovendien een boete van maximaal 810.000 euro of 10% van de omzet van rechtspersonen opleggen indien de bindende aanwijzing niet wordt nageleefd;
- het College moet voorafgand aan het opstellen van beleidsregels over de uitoefening van boetes overleggen met het ministerie van Justitie en van BZK;
- het College Bescherming Persoonsgegevens mag samenwerkingsverbanden aangaan met andere toezichthouders en in dat kader informatie uitwisselen;
- het College Bescherming Persoonsgegevens wordt in plaats van de ACM de bevoegde toezichthouder bij inbreuken op de beveiliging bij telecomaanbieders.
Ik zal op enkele van deze punten hierna wat verder ingaan.
Meldplicht inbreuken
Op grond van het wetsvoorstel moet het CBP "onverwijld" in kennis worden gesteld "van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens".
Er moet dus voldaan zijn aan in feite twee eisen: (1) een inbreuk op de beveiligingsmaatregelen die (2) voldoende ernstig is.
Eerste criterium: inbreuk op de beveiliging
De verwijzing naar artikel 13 Wbp doet denken dat als er geen voldoende passende beveiligingsmaatregelen zijn genomen, er ook geen sprake is van een meldplicht. Die kritiek is ook al wel eerder door diverse schrijvers geuit. De wetgever heeft die kritiek ter harte genomen, door in de nota naar aanleiding van het verslag in voetnoot 6 het volgende op te merken:
De verwijzing naar artikel 13 Wbp verwijst naar de algemene verplichting om persoonsgegevens op een passende manier te beveiligen. Voor de meldplicht datalekken is evenwel niet van belang of de beveiliging van de gelekte gegevens passend was, een inbreuk op de beveiliging met ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens volstaat.
De gedachte lijkt te zijn dat ieder IT-systeem toch wel enige beveiliging kent. Het doorbreken van die (minimale) beveiliging zou dan vervolgens voldoende zijn om aan het eerste criterium uit het wetsvoorstel te voldoen.
Toch is de vraag of deze redenering helemaal sluitend is. Het komt immers regelmatig voor dat gegevens open en bloot op het Internet worden geplaatst op een "geheime" URL die met educated guessing zo achterhaald is. Of wat te denken van een server die onbeveiligd aan het internet wordt gekoppeld. Het is maar de vraag of bij dergelijke handelingen wel sprake is van een inbreuk op de beveiligingsmaatregelen.
Dit soort juridisch-technische discussies zouden we niet hebben als de wetgever als bepalend criterium het gevolg in de wet had opgenomen ("gegevens liggen (mogelijk) op straat"), in plaats van de oorzaak ("de beveiliging is (mogelijk) doorbroken"). Het is mij niet bekend waarom daarvoor niet gekozen is.
Tweede criterium: voldoende ernstige inbreuk
De inbreuk moet bovendien voldoende ernstige gevolgen hebben. De gedachte is dat voorkomen moet worden dat de verantwoordelijken veel meldingen moeten doen en het CBP veel meldingen moet verwerken. Het lastige is wel dat de wetgever aan de bedrijven en instellingen zelf overlaat om te beoordelen wat voldoende ernstig is:
Gelet op de diversiteit van de normadressaten van de Wbp (van een zzp’er tot een multinational) en de diversiteit van de door hen verwerkte persoonsgegevens past een meer risicogerichte benadering. Met de toevoeging van het criterium dat sprake moet zijn van «ernstige» nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens wordt een afbakening aangebracht tussen ernstige datalekken waarvan de toezichthouder (onverwijld) op de hoogte moet worden gebracht en gevallen waarin dat niet noodzakelijk is. Hierbij zijn aard en omvang van de inbreuk en de aard van de gelekte persoonsgegevens doorslaggevend. De verantwoordelijke zal een dergelijke beoordeling voor de door hem verwerkte persoonsgegevens zelf moeten maken.
Het Cbp zal deze afweging door de verantwoordelijke door middel van richtsnoeren (beleidsregels) kunnen ondersteunen. In de beleidsregels kan een verdere uitwerking en invulling worden gegeven aan datalekken die zodanig ernstig zijn dat zij aan Cbp gemeld moeten worden en incidenten waarbij dat niet het geval is.
Zolang die onduidelijkheid bestaat, zullen bedrijven en instellingen die zich geconfronteerd zien met een inbreuk dat vermoedelijk - al was het maar zekerheidshalve (mede vanwege de forse boete) - gaan melden bij het CBP.
Dat effect zal vermoedelijk dankzij het amendement Schouw nog groter worden. Sinds deze wijziging moeten ook inbreuken worden gemeld die een aanzienlijke kans op ernstige nadelige gevolgen hebben voor de bescherming van persoonsgegevens. In de toelichting is het volgende te lezen:
Indieners zijn van mening dat de meldplicht alleen een belangrijke toevoeging aan de bescherming van persoonsgegevens biedt indien datalekken niet slechts worden gemeld in die gevallen waarbij reeds sprake is geweest van ernstige nadelige gevolgen. De toezichthouder, het College bescherming persoonsgegevens, moet ook kunnen optreden indien de aanzienlijke kans bestaat op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens.
Het is de vraag wat dit criterium precies inhoudt. Moet nu bijvoorbeeld ook een melding worden gedaan als gegevens zijn buitgemaakt die op een zwakke wijze versleuteld zijn? Of waarbij een niet al te sterk wachtwoord is gebruikt? Of over een hele andere boeg: moet straks gemeld worden als ontdekt wordt dat gebruikte beveiligingspasjes te kopieren zijn, omdat dit wel eens zou kunenn impliceren dat vreemden het gebouw binnen zijn geweest en aldus persoonsgegevens hebben buitgemaakt? Of moet gemeld worden dat een systeembeheerder zijn wachtwoord op een post-it heeft staan onderaan zijn beeldscherm, in de gedachte dat misbruik van dit wachtwoord (en daarmee van verwerkte persoonsgegevens) wel erg op de loer ligt? Ook hier is de vraag waar de grens ligt.
Het CBP zou dus wel eens overstelpt kunnen gaan worden met meldingen. Daar gaat voor het CBP natuurlijk weer een prikkel vanuit om te komen met duidelijk beleid. Ik ben erg benieuwd of dergelijk beleid er zal zijn voordat de wetgeving van kracht is (en hoe het er uit zal gaan zien).
Altijd melden aan CBP, soms aan betrokkene
De wet verplicht om inbreuken die aan deze criteria voldoen altijd te melden aan het College.
Dat moet onverwijld gebeuren, dus zonder uitstel c.q. zo snel mogelijk. Bedrijven en instellingen doen er dus verstandig aan alvast te gaan werken aan draaiboeken e.d. hoe te handelen bij een datalak. Anders wordt deze termijn mogelijk niet gehaald.
Er moet bovendien een melding worden gedaan aan de betrokkene (de consument) indien "de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer". In de toelichtende documenten valt hierover het volgende te lezen:
Het gaat bij dit criterium om een beoordeling van de «waarschijnlijke» gevolgen van onrechtmatige verwerking en misbruik van de gelekte persoonsgegevens voor de persoonlijke levenssfeer van betrokken personen. Hier valt met name te denken aan vormen van fraude (financiële fraude, identiteitsfraude) en aantasting van goede naam en reputatie. Het Cbp kan hier door middel van beleidsregels (bijvoorbeeld aan de hand van voorbeelden) nadere duiding aan geven.
Ook hier is het afwachten met welke beleidsregels het CBP komt. Overigens zal het ook, los van die beleidsregels en dit hele wetsvoorstel, onder omstandigheden in het kader van het schadebeperkend handelen (c.q. eigen schuld van de betrokkene) verstandig zijn de betrokkene te informeren.
De betrokkene hoeft (op grond van lid 6) niet te worden geinformeerd als de betreffende persoonsgegevens "onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens", dus als ze voldoende goed versleuteld zijn. Ook hier is de vraag welke versleuteling volstaat. Bovendien is de (juridisch-technische) vraag of de Wet bescherming persoonsgegevens überhaupt van toepassing is op het uitlekken van adequaat versleutelde gegevens, nu die gegevens mogelijk niet (langer) als persoonsgegevens kwalificeren. Ook die vragen zullen zich ongetwijfeld in de praktijk nader uitkristalliseren.
Introductie forse maximale boete
Verder introduceert het wetsvoorstel een maximale boete van (maar liefst) 810.000 euro (of iets preciezer, want de wet noemt geen bedrag: de zesde categorie van artikel 23 Sr).
Deze maximale boete komt te staan op overtreding van zo ongeveer de gehele Wbp. Opvallende afwezige in de opsomming van artikelen waarop de boete komt te staan is artikel 14 Wbp. Het niet sluiten van een bewerkersovereenkomst is dus straks niet beboetbaar (wel kan een last onder dwangsom worden opgelegd). Verder staat een boete op het niet verlenen van medewerking aan een onderzoek door het CBP (artikel 5:20 Awb).
Die boete kan direct worden opgelegd wanneer de overtreding opzettelijk is gepleegd of het gevolg is van ernstige verwijtbare nalatigheid. In de toelichting op dit amendement valt te lezen dat hiermee gedoeld wordt op "grof, aanzienlijk onzorgvuldig, onachtzaam dan wel onoordeelkundig handelen". In alle andere gevallen moet het College eerst een zogenaamde "bindende aanwijzing" hebben gegeven.
Hetzelfde amendement heeft ook een afzonderlijke boete geintroduceerd voor het niet-naleven van de bindende aanwijzing. Die constructie heeft toch wat weg van een dubbele boete voor wat materieel dezelfde overtreding is. De bindende aanwijzing van het College zal immers in de praktijk zien op het opheffen van de overtreding van de wet. Het niet opvolgen van die aanwijzing zou onder de nieuwe wet een boete kunnen opleveren omdat (1) de wet nog steeds overtreden wordt en (2) de bindende aanwijzing niet wordt opgevolgd (omdat de wet nog steeds wordt overtreden). De praktijk zal leren of de soep zo heet wordt gegeten.
Bovendien vraag ik me nog steeds af wat de bindende aanwijzing nu precies toevoegt op de al bestaande mogelijkheid voor het CBP om een last onder dwangsom op te leggen.
Meer armslag voor het CBP
In een eerdere versie van het wetsvoorstel was opgenomen dat het CBP beleidsregels omtrent het gebruik van boetes diende vast te stellen en dat deze beleidsregels ter goedkeuring aan het ministerie voorgelegd dienden te worden. Dit is bij amendement komen te vervallen. In plaats hiervan is nu nog slechts opgenomen dat het CBP met het ministerie dient te overleggen over dergelijke beleidsregels. Dit geeft het CBP aldus veel meer armslag.
Ten slotte
Tot zover enkele gedachten over het wetsvoorstel zoals het nu bij de Eerste Kamer ligt. De Tweede Kamer heeft veel meer armslag gegeven aan het CBP dan in het oorspronkelijke voorstel was vervat. Niettemin roept ook de huidige tekst nog diverse vragen op. Behoudens een novelle moeten we het echter vermoedelijk met deze wettekst straks doen. De wetgever zou er m.i. goed aan doen de wet niet eerder in werking te laten treden dan nadat de nodige verduidelijkende beleidsregels en (zo nodig) aanvullende regelgeving is geintroduceerd.
