Meld- en administratieplicht beveiligingsinbreuken
De naam "meldplicht datalekken" is een wat misleidende naam voor de wet die sinds 2016 van kracht is. De term "datalek" suggereert immers dat de vraag is of gegevens gelekt zijn, terwijl ook andere vormen van onrechtmatige verwerking onder de meldplicht vallen. De vraag bij de meldplicht is veeleer of er iets met persoonsgegevens is gebeurd dat voldoende ernstig is en/of (mogelijk) privacygevolgen voor de betrokkene geeft.
Aantal meldingen laag
In 2006 heeft de Autoriteit Persoonsgegevens (AP) over het hele jaar bijna 5500 meldingen ontvangen. In het eerste kwartaal van 2017 waren dit er 2317.
Dit zijn relatief lage aantallen. Bij 1,6 miljoen verschillende organisaties die economische activiteit vertonen (en dus vermoedelijk persoonsgegevens verwerken), spreken we immers slechts over 0,00342 meldingen per jaar per organisatie.
Kijkend naar de beleidsregels van de AP zijn er veel situaties per definitie meldingsplichtig. Zodra er bijzondere persoonsgegevens of gevoelige gegevens bij het incident betrokken zijn, moet welhaast per definitie een melding worden gedaan. Een verkeerd geadresseerd mailtje met een "kopietje paspoort" zal snel meldingsplichtig zijn. Gelijk zo een persoonsverwisseling bij een zorginstelling of financiele instelling of overheidsinstelling. Dergelijke kleine incidenten komen naar mijn overtuiging in heel Nederland vaker voor dan 5500 keer per jaar, of 15 keer per dag.
Een andere reden om te denken dat het aantal te laag is, is dat er volgens het CBS vorig jaar bijna een half miljoen diefstallen zijn gepleegd. Een diefstal van een onversleutelde laptop waarop (enigszins) gevoelige gegevens zijn opgeslagen is volgens de beleidsregels van de AP meldingsplichtig (en dat speelt al bij een BSN, dat staat op bijna ieder loonstrookje). Het CBS houdt niet bij welk deel van die half miljoen diefstallen zag op laptops. Wel staat vermeld dat er 92.460 diefstallen uit een vervoermiddel waren en 20.515 diefstallen uit winkels en bedrijven. Daar zal vaak elektronica tot de buit behoren. Als bij slechts 10 procent van deze diefstallen een laptop of andere gegevensdrager buitgemaakt zou zijn, en aannemende dat veel laptops gevoelige gegevens bevatten, dan laat dit al zien dat de meldplicht onvoldoende wordt nageleefd.
Terughoudendheid te melden kan zich tegen bedrijven/instellingen keren
Mogelijk dat bedrijven en instellingen terughoudend zijn in het doen van een melding. Het doen van een melding voelt immers toch wat als "de vuile was buiten hangen". Bovendien kunnen er veel kosten gemoeid zijn met het zo nodig informeren van de betrokkene. Die kosten worden liever niet gemaakt.
Bedrijven en instellingen lijken daarbij echter wel eens te vergeten dat het doen van een melding ook schadebeperkend kan werken. Juist door een betrokkene te waarschuwen, kan deze actie ondernemen om verdere schade te voorkomen. Doet de betrokkene dit niet, dan is mogelijk sprake van eigen schuld (artikel 6:101 BW). Dit kleurt dus heel sterk de mate waarin de betrokkene zijn materiële, en zelfs immateriële schade, op het bedrijf of de instelling kan verhalen.
Interessante analyse door AP mogelijk
Ook om een andere reden is het mogelijk onverstandig (te) terughoudend te zijn in het doen van meldingen.
De Autoriteit Persoonsgegevens beschikt dankzij de meldplicht over een interessante databank aan meldingen. Zij kunnen gaan analyseren welke bedrijven en instellingen:
- bovengemiddeld weinig meldingen doen; of juist
- bovengemiddeld veel meldingen doen.
Wanneer er bovengemiddeld weinig meldingen worden gedaan, dan kan er logischerwijs het volgende aan de hand zijn:
- de betreffende instelling monitort goed en heeft alles volledig onder controle en heeft gewoon niks te melden; of
- de betreffende instelling heeft geen idee of en zo ja wat er te melden is; of
- de betreffende instelling meldt doelbewust niet.
De eerste situatie lijkt me vrij onwaarschijnlijk. Al was het maar omdat de meldplicht ook van toepassing is op menselijke vergissingen (en waar gewerkt wordt worden fouten gemaakt). En ook als de beveiliging op orde is kun je met de meldplicht te maken krijgen. De wet vereist immers passende beveiliging, geen perfecte beveiliging. De meldplicht geldt echter (volgens de beleidsregels) ook voor zeer geavanceerde hacks (die ondanks een passende beveiliging kunnen optreden).
De tweede situatie zou je ook wel kunnen duiden als "onbewust onbekwaam". Organisaties die geen idee hebben of ze iets te melden hebben, hebben hun privacybeleid vermoedelijk ook niet op orde. Dat zijn dus voor de AP interessante organisaties om eens met een bezoek te "vereren". Het ligt voor de hand dat de AP bij dat bezoek diverse tekortkomingen zal constateren en vervolgens mogelijk handhavend zal optreden.
Organisaties uit de derde categorie kunnen rekenen op boetes. Het willens en wetens niet melden van een datalek, terwijl bekend is dat melden verplicht is, kwalificeert (hoogstwaarschijnlijk) als opzettelijk handelen. De AP kan daarvoor zonder nadere stappen een boete opleggen. Volgens de boetebeleidsregels van de AP staat daarop minimaal een boete van 120.000 euro.
Bij bovengemiddeld veel meldingen kan er het volgende aan de hand zijn:
- de organisatie heeft het beveiligingsbeleid niet op orde en (dus) veel te melden;
- de organisatie heeft het beveiligingsbeleid wel op orde, maar meldt ook de kleinste incidenten zekerheidshalve.
In het eerste geval ligt het voor de hand dat de AP de organisatie bezoekt en vervolgens aanbevelingen doet of zelfs een last onder dwangsom oplegt om de beveiliging te verbeteren.
De tweede situatie doet zich ook veel voor. Juist omdat de beleidsregels van de AP over de meldplicht op lang niet alle punten duidelijk zijn, wordt er regelmatig zekerheidshalve een (al dan niet voorwaardelijke) melding gedaan. Hopelijk schept de AP in een volgende versie van het beleid meer helderheid om dergelijke (mogelijk onnodige) meldingen te voorkomen. Het is immers nogal wrang dat in de wetsgeschiedenis bij de meldplicht uitgebreid - juist vanwege de administratieve lasten voor het bedrijfsleven - stil is gestaan bij de (hoogte van) de meldingsdrempel, terwijl daar in de praktijk geen helderheid over is en het effect daarvan is dat de lat voor de melding lager komt te liggen.
Conclusie: niet melden is korte termijn denken
Het niet melden van datalekken getuigt van korte termijn denken. Juist door een melding te doen kan de mogelijke schadeclaim van de betrokkene worden verkleind. Bovendien zou juist het uitblijven van meldingen voor de AP aanleiding kunnen geven om onderzoek te doen. De kans is groot dat de AP op dat moment nog veel meer schendingen van de Wbp aantreft. Organisaties doen er dan ook goed aan de meldplicht serieus te nemen.
Heeft u vragen over het privacyrecht? Neem dan contact met mij op.
Mark Jansen
advocaat IT- en privacyrecht
