Hacks 'Lektober', beveiligingsverplichting en nut meldplicht datalekken

Naar aanleiding van de actie "Lektober" van internetmagazine Webwereld komt steeds meer nieuws over beveiligingslekken naar buiten. De roep om een meldplicht datalekken wordt steeds groter. De vraag is of andere aanpassingen aan de wet niet meer resultaat opleveren.

Bestaande eisen om beveiliging op orde te hebben

In de Wet bescherming persoonsgegevens, de wet die van toepassing is op alle geautomatiseerde verwerkingen van persoonsgegevens, staat al vanaf het eerste bestaan van de wet (in 2001) in artikel 13 dat persoonsgegevens op een passende wijze moeten worden beveiligd. Wat precies een "passende" mate van beveiliging is hangt volgens de wet kort gezegd af van alle omstandigheden van het geval.

Zo zal een administratie met veel persoonsgegevens beter moeten worden beveiligd dan een administratie met slechts weinig klantgegevens. Het risico op misbruik van een omvangrijk bestand is immers veel groter. Ook wil dit bijvoorbeeld in de regel zeggen dat gevoelige gegevens (zoals medische of financiele gegevens) beter zullen moeten worden beveiligd dan "eenvoudige" naw-gegevens. 

Het College Bescherming Persoonsgegevens heeft in 2001 het rapport "Beveiliging van persoonsgegevens" uitgegeven om iets concreter aan te geven welke maatregelen in bepaalde omstandigheden volgens het College moeten worden genomen.

Bestaande mogelijkheden optreden door slachtoffers

De beveiliging van computersystemen die persoonsgegevens verwerken moet dus nu al op orde zijn. Een betrokkene wiens gegevens door het gebrek aan beveiliging op straat komen te liggen, kan een actie starten uit onrechtmatige daad tegen degene die zijn gegevens heeft gelekt. Belangrijk vereiste is daarvoor (uiteraard) wel dat van een schending van de wet sprake is. De eis "passende" beveiliging te hebben betekent namelijk niet dat maximale beveiliging moet worden geworden. Anders gezegd: niet ieder beveiligingslek hoeft een schending van de Wbp met zich mee te brengen. Vaak zal dit echter wel het geval zijn (ook kijkend naar de strenge eisen uit het rapport "Beveiliging van persoonsgegevens").

Bij een dergelijke actie kan niet alleen vergoeding van de door dat lek daadwerkelijk geleden (financiele) schade worden gevorderd, maar ook een "naar billijkheid vast te stellen schadevergoeding" voor de immateriele schade (zie artikel 49 lid 2 Wbp). Het slachtoffer zal daarbij uiteraard moeten aantonen dat er daadwerkelijk van enige schade sprake is (dat zal niet altijd eenvoudig zijn). Het is ook mogelijk een verbod te vorderen of herstel van de gevolgen van de schending van de wet (zie artikel 50 Wbp).

Onder voorwaarden is het ook mogelijk in een collectieve actie op te treden tegen een verantwoordelijke die de Wbp schendt (artikel 50 Wbp en artikel 3:305a Bw), dus namens een groep personen die allemaal hetzelfde belang hebben bij de actie (bijvoorbeeld alle klanten van een onderneming).

Wanneer de verantwoordelijke zich op overmacht kan beroepen, wordt hij ontheven van zijn aansprakelijkheid (zie artikel 49 lid 4 Wbp).

Bestaande mogelijkheden optreden door toezichthouder

Behalve de slachtoffers zelf, kan ook het College Bescherming Persoonsgegevens (CBP) handhavend optreden. Het CBP kan zowel pro-actief (vooraf) als reactief (achteraf) optreden.

Het CBP kan vooraf onderzoek instellen naar de naleving van de wet (artikel 60 WBP). Daarbij kunnen zelfs woningen worden betreden zonder toestemming van de bewoner (artikel 61 Wbp), inlichten gevraagd worden (artikel 5:16 Awb) en bijvoorbeeld zakelijke gegevens en bescheiden worden gekopieerd (artikel 5:17 Awb). Bij een overtreding kan het CBP bestuursdwang toepassen (de schending van de wet feitelijk ongedaan maken op kosten van de overtreder) en een last onder dwangsom opleggen (verbeuren van een dwangsom totdat is voldaan aan een door het CBP opgelegde verplichting ). Ook staat het CBP er om bekend de publiciteit te zoeken op het moment dat zij handhavend optreedt. De (indirecte) imagoschade die hier uit voortvloeit is ongetwijfeld veel groter dan het bedrag aan boetes en dwangsommen dat eventueel verschuldigd is na bestuurlijk optreden door het CBP. Gezien de beperkte handhavingscapaciteit van het CBP, afgezet tegen het enorme aantal bedrijven en instellingen in Nederland, is de kans op pro-actief optreden bij een specifieke onderneming/instelling door het CBP echter simpelweg niet zo waarschijnlijk.

Uiteraard kan het CBP ook achteraf optreden (dus als het beveiligingslek al misbruikt is). Daarbij heeft het CBP dezelfde bevoegdheden als hiervoor beschreven. Zolang het CBP geen boetes kan opleggen, lijkt gebruikmaken van die bevoegdheden echter niet zo waarschijnlijk. Een onderneming of instelling die gehackt is zal immers de gehackte server, naar ik mag aannemen, na de hack ogenblikkelijk "uit de lucht halen". Een dwangsom opleggen om de schending van de wet te staken heeft dan geen zin meer (de schending van de wet is immers al gestaakt). Voor toepassing van bestuursdwang geldt hetzelfde. Vandaar ook dat het voornemen van het huidige kabinet om het CBP de bevoegdheid te geven boetes op te leggen het CBP zeker meer armslag zal geven de naleving van de wet af te dwingen. Na een overtreding hangt de overtreder immers altijd nog een boete boven het hoofd.

Komende beperkte en toekomstige brede meldplicht datalekken

Er is ondertussen een beperkte meldplicht datalekken in de maak die alleen geldt voor aanbieders van een "openbare elektronische communicatiedienst", dus bijvoorbeeld voor internet access providers en telecomaanbieders. Het komt er samengevat op neer dat deze bedrijven inbreuken op de beveiliging moeten melden aan de OPTA en wanneer die inbreuken waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van de klant hebben moet dit onder omstandigheden ook, maar niet altijd, worden gemeld aan de klant. Het voorstel is nog bij de Eerste Kamer in behandeling. Op het voorstel is wel kritiek geuit in de literatuur, zie in dat kader bijvoorbeeld het artikel van Mr. F.J. Zuiderveen Borgesius.

Minister Hirsch-Ballin heeft vorig jaar gesteld voorstander te zijn van het verbreden van die meldplicht:  "De gedachte voor het invoeren van een meldplicht bij datalekken ondersteunen wij". In de Memorie van Toelichting bij de komende beperkte meldplicht datalekken is die bredere meldplicht datalekken meer concreet aangekondigd: "Een dergelijke verplichting zal worden verankerd in de Wet bescherming persoonsgegevens. Het College bescherming persoonsgegevens zal belast zijn met het toezicht op de naleving van die verplichtingen.". Het is afwachten op een concreet wetsvoorstel.

Bijna allemaal reactief

De hiervoor beschreven juridische consequenties van een beveiligingslek zijn, behalve vooraf onderzoek door het CBP, allemaal reactief. Geen van de overige maatregelen is pro-actief van karakter. De hoop bij de meldplicht datalekken is natuurlijk dat bedrijven en instellingen ervoor zullen zorgen dat hun beveiliging op orde is, teneinde te voorkomen dat ze "met de billen bloot moeten" op het moment dat er toch een hack plaatsvindt.

De vraag is echter of een meldplicht werkelijk zo veel daaraan zal bijdragen. "Lektober" laat nu al zien dat de verplichting de beveiliging op orde te hebben vaak geschonden wordt. Mogelijk gaat in de toekomst daarnaast ook de meldingsplicht geschonden worden. Overigens is het daarmee niet gezegd dat de meldplicht helemaal niets zou toevoegen. Bedrijven en instellingen die gehackt zijn zullen echter waarschijnlijk de hoogte van de eventuele boete en dwangsommen op het niet naleven van de meldingsplicht, afwegen tegen de kans dat de hack anderszins in de publicatie komt, de eventuele schadeclaims (die juist door de melding gemakkelijker te bewijzen zijn!) en de reputatieschade gemoeid met het publiekelijk erkennen gehackt te zijn geweest. 

Bovendien bestaat ondertussen al meer dan 10 jaar de Wbp met de hiervoor beschreven mogelijke juridische gevolgen van het niet op orde hebben van de beveiliging. De actie "Lektober" van internetmagazine Webwereld laat zien dat die dreiging van schadeclaims en handhavend optreden door het CBP, kennelijk, al die tijd nog onvoldoende prikkel is geweest voor diverse instellingen en bedrijven om hun beveiliging op orde te krijgen. Het is de vraag of een meldplicht daar veel aan zal veranderen.

Ik verwacht in dat kader veel meer van audits door externe auditors. Wanneer een instelling met recht op haar website kan stellen dat ze is gecertificeerd door een betrouwbare externe auditor, dan straalt dit vermoedelijk naar het publiek toe vertrouwen uit. Juist omdat de klanten van de auditor vermoedelijk graag trots op hun site willen melden dat ze zijn "goedgekeurd" door de auditor, zal de betreffende auditor het onderzoek waarschijnlijk extra grondig uitvoeren. Zijn eigen reputatie staat immers ook op het spel als zijn klant toch gehackt wordt. In bepaalde marktsegmenten zijn ook dergelijke initiatieven, zoals de HKZ-certificering in de gezondheidszorg. Het zou me niet verbazen wanneer soortelijke certificering in de toekomst steeds vaker ook in andere branches geeist zal worden door klanten en leveranciers.