Vervolg op eerdere internetconsultatie
Ongeveer anderhalf jaar geleden heeft de regering een concept wetsvoorstel over hetzelfde onderwerp gepubliceerd en in internetconsultatie gegeven aan het grote publiek. Daarover heb ik al eerder geblogd. Het wetsvoorstel dat nu definitief naar de Kamer gaat lijkt sterk op dit eerdere wetsvoorstel. Een deel van het eerder gegeven commentaar geldt dan ook nog steeds.
Kern van de wet: meldplicht en administratieplicht
In de kern introduceert de wet twee meldplichten en een administratieplicht. Deze verplichtingen zijn van toepassing op alle inbreuken op beveiligingsmaatregelen die zijn genomen om persoonsgegevens te beveiligen, mits "redelijkerwijs kan worden aangenomen dat die [inbreuk] leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens".
De twee meldplichten zijn in dat geval als volgt:
- altijd melden aan het College Bescherming Persoonsgegevens;
- alleen melden aan de betrokkene "indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer", tenzij gepaste technische beschermingsmaatregelen zijn genomen waardoor de persoonsgegevens die het betreft versleuteld zijn of anderszins onbegrijpelijk zijn gemaakt voor eenieder die geen recht heeft op kennisname van de gegevens.
Verder geldt de verplichting om een overzicht bij te houden van alle inbreuken (administratieplicht).
Het schenden van deze verplichtingen kan worden bestraft met een boete van maximaal 450.000 euro (evenals met dwangsommen, een reeds bestaande bevoegdheid van het Cbp).
Is er wel (voldoende) beveiligingsbeleid?
Op grond van (het al bestaande) artikel 13 Wbp is de verantwoordelijke verplicht om persoonsgegevens te beveiligen tegen verlies en onrechtmatige verwerking. De wijze waarop hij dit doet wordt door de wetgever volledig aan hemzelf overgelaten. Het College Bescherming Persoonsgegevens heeft onlangs beleid gepubliceerd waaruit volgt dat het vindt dat aansluiting gezocht moet worden bij internationale beveiligingsstandaarden.
In het wetsvoorstel datalakken wordt bij die beveiligingsverplichting aangesloten. Er is namelijk sprake van een datalek wanneer de op grond van artikel 13 Wbp genomen beveiligingsmaatregelen worden doorbroken en "redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens die door hem worden verwerkt".
Dat impliceert dat er ook daadwerkelijk beveiligingsmaatregelen zijn genomen en dat er beveiligingsbeleid in een organisatie is. Het is maar de vraag of dit altijd (in voldoende mate) gebeurt. De (m.i. wonderlijke) conclusie zou wel eens kunnen zijn dat wie een database met persoonsgegevens open en bloot op Internet zet, straks vrijuit gaat onder deze nieuwe regelgeving, terwijl degene die een soortgelijke database wel (maar onvoldoende) heeft beveiligd bij uitlekken van de inhoud van die database een forse boete opgelegd kan krijgen. Dat kan toch niet de bedoeling zijn?
Wanneer is er sprake van een inbreuk?
Daar komt bij dat niet iedere inbreuk op de beveiligingsmaatregelen gemeld hoeft te worden. Het moet namelijk waarschijnlijk zijn dat de inbreuk leidt tot een kans op nadelige gevolgen voor de bescherming van persoonsgegevens die door hem worden verwerkt. Die kans moet bovendien aanmerkelijk zijn. Dit zal van geval tot geval feitelijk moeten worden beoordeeld.
Er ontstaat aldus het volgende beslisschema:
- Is er sprake van een inbreuk op de beveiligingsmaatregelen?
- Zo ja, leidt die inbreuk tot een kans op verlies of onrechtmatige verwerking?
- Zo ja, is die kans aanmerkelijk?
- Zo ja, is aannamelijk dat wanneer die kans zich verwezenlijk daar nadelige gevolgen voor de persoonlijke levenssfeer van de betrokkene aan verbonden zijn?
Naar mijn inschatting zal het in de praktijk niet eens zo eenvoudig zijn om op al deze vragen antwoord te (kunnen) geven. Gelet op de hoge boete zou die onzekerheid er wel eens toe kunnen leiden dat bedrijven en instellingen (zekerheidshalve) boven verwachting veel meldingen gaan doen. Het is de vraag of het CBP daar op zit te wachten en of dit geen afbreuk doet aan de effectiviteit van de regeling.
Dat geldt te meer nu uit de memorie van toelichting en de daarin gegeven voorbeelden blijkt dat de regering een heel ruim begrip voorstaat van inbreuk op de beveiligingsmaatregelen. Als het verkeerd adresseren van een e-mailtje al een beveiligingslek is, gaat het CBP het nog druk krijgen.
Over het vereiste dat sprake moet zijn van een inbreuk op de beveiliging, bedoeld in artikel 13 Wbp, merken wij op, dat niet noodzakelijkerwijs sprake behoeft te zijn van tekortschietende beveiligingsmaatregelen. Van een inbreuk op de beveiliging kan ook sprake zijn indien de beveiliging van voldoende niveau is, maar de beveiligingsmaatregelen worden teniet gedaan of omzeild. Denk bijvoorbeeld aan een hack van een ICT-systeem dat persoonsgegevens bevat of de diefstal van een laptop of mobiele telefoon uit een afgesloten locker. Er zijn echter ook situaties denkbaar waarin de inbreuk op de beveiligingsmaatregelen het gevolg is van een tekortschietende beveiliging, die de verantwoordelijke zelf kan worden aangerekend. Dit kan variëren van een niet adequate en vakkundig toegepaste beveiliging van de bestanden of de gegevens, tot menselijke fouten van ondergeschikten. Denk bijvoorbeeld aan het slordig omgaan met het beheer van wachtwoorden die toegang geven tot informatiebestanden of aan situaties van het per ongeluk verkeerd adresseren van een brief of e-mail die persoonsgegevens bevat, het als oud papier aanbieden van gevoelige stukken, of het zoekraken van een mobiele telefoon of een geheugenstick. In al deze gevallen wordt het verlies van persoonsgegevens en de blootstelling aan risico’s van ongeoorloofde toegang of onrechtmatige verwerking ervan, door een inbreuk op de beveiligingsmaatregelen veroorzaakt.
Geen beveiligingsverplichting, wel een meldplicht
Een ander opvallend aspect aan het wetsvoorstel is het volgende. In de memorie van toelichting bij het wetsvoorstel worden de recente richtsnoeren van het CBP over beveiliging wel genoemd, maar deze worden niet uitdrukkelijk door de regering omarmd. Sterker nog, er is uitdrukkelijk afgezien van het introduceren van een boetebevoegdheid voor het schenden van de beveiligingsverplichting. Deze verplichting zou namelijk te abstract geformuleerd zijn en daardoor niet geschikt om een boete op te baseren:
In veel ontvangen zienswijzen, met name uit de internetconsultatie, en in de adviezen van het Cbp en het NGFG is erop aangedrongen ook de overtreding van artikel 13 Wbp - de beveiligingsverplichting - te sanctioneren. Dit alternatief is nadrukkelijk overwogen. Het heeft als voordeel dat beveiliging als aspect van de bescherming van persoonsgegevens integraal wordt aanpakt. Daar staat echter tegenover dat artikel 13 van de Wbp een algemeen-abstract geformuleerde norm is. De handhaving van dergelijke normen vraagt afzonderlijke aandacht uit hoofde van artikel 7 van het Europees Verdrag ter bescherming van de rechten van de mens en de fundamentele vrijheden, vooral op het punt van het lex certa beginsel en de kwestie van de voorzienbaarheid van overtredingen.
Dat leidt tot een bijzondere situatie. De beveiligingsverplichting zelf is volgens de regering kennelijk te abstract/ruim (of zo u wilt: vaag) geformuleerd om daar een boete op te kunnen baseren. Tegelijkertijd is die norm kennelijk wel concreet genoeg om naleving daarvan middels een last onder dwangsom door het CBP te laten afdwingen. Dat lijkt toch niet geheel consequent.
Bovendien zou dit wetsvoorstel wel eens tot het opleggen van extra dwangsommen kunnen leiden. De verantwoordelijke bepaalt immers zijn eigen beveiligingsbeleid en stelt daarmee zelf de norm. Het CBP denkt wellicht het zijne van die norm, maar zal daar in de regel (bij gebrek aan kennis over het beveiligingsbeleid van alle organisaties in Nederland) niet veel mee doen. Een inbreuk op de beveiligingsmaatregelen impliceert dat die norm is geschonden. Dit zal moeten worden gemeld bij het CBP. Het is niet ondenkbaar dat het CBP vervolgens een last onder dwangsom oplegt aan de verantwoordelijke, op grond dat het beveiligingsbeleid volgens het CBP tekortschiet (de lat van de norm te laag ligt). Zo wordt de betreffende verantwoordelijke (mogelijk) dubbel getroffen, terwijl organisaties met een gelijk niveau van beveiliging buiten schot blijven. Het is de vraag of dat redelijk is.
Voortaan ook boete op niet meewerken aan onderzoek CBP
Er is nog een ander opvallend element in het wetsvoorstel. Op dit moment kan het CBP nauwelijks boetes opleggen (alleen schending meldplicht). Op grond van het wetsvoorstel zou het schenden van de meldplicht datalekken kunnen worden beboet met een boete van maximaal 450.000 euro. Een forse sprong: van 4.500 euro boete voor schending van de meldplicht (en verder geen boetes), naar 450.000 euro voor schending van de meldplicht datalekken.
Die forse boete komt echter ook te staan, en daar zou je wellicht snel overheen kunnen lezen, op schending van artikel 5:20 Algemene wet bestuursrecht. Dat artikel verplicht, kort samengevat, om medewerking te verlenen aan een toezichthouder wanneer deze zijn bevoegdheden uitoefent. Wanneer het wetsvoorstel in deze vorm wordt aangenomen, zou het CBP aldus opeens veel meer armslag krijgen bij handhaving van het privacyrecht. Het hinderen van het CBP terwijl het toezicht houdt kan in de toekomst immers wellicht worden beboet met een boete van maximaal 450.000 euro. Dit vergt van organisaties die gecontroleerd worden dat ze nog zorgvuldiger zijn in hun opstelling jegens het CBP bij een controle.
Wetsvoorstel naar de Tweede Kamer
Het wetsvoorstel gaat naar de Tweede Kamer toe. Het is nog onbekend wanneer het voorstel behandeld zal gaan worden. We houden u op de hoogte.
