Overzicht Actueel

DDMA reageert op Richtsnoeren Meldplicht Datalekken

Begin 2016 krijgt Nederland een brede meldplicht datalekken. Privacy toezichthouder Cbp heeft in aanloop hiernaartoe Richtsnoeren gepubliceerd, waarin zij uitlegt wat een “meldenswaardig” datalek is. Deze Richtsnoeren worden publiek geconsulteerd. DDMA ziet ruimte voor verbetering. DDMA-voorzitter Henry Meijdam: “De algemene indruk na het lezen van het document is dat bedrijven al snel genoodzaakt zijn om alles te melden. Daar heeft niemand baat bij. DDMA doet een aantal concrete suggesties om tot een werkbaarder document te komen.”

Meldplicht datalekken: wat is het?
Vanaf volgend jaar moet een organisatie een datalek melden bij de toezichthouder als er sprake is van een inbreuk op de beveiliging die leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Als het lek ook ongunstige gevolgen kan hebben voor de privacy van de mensen in het bestand, moeten ook zij op de hoogte worden gebracht. Dat laatste is niet nodig als een organisatie de data zo heeft beveiligd dat een onbevoegde er niet bij kan, denk aan encryptie of een remote wipe. In haar Richtsnoeren geeft het Cbp bedrijven handvatten om te bepalen of zij moeten melden. De DDMA is blij met de gelegenheid nu input te geven op dit belangrijke document dat volgens Meijdam op een aantal punten moet worden aangescherpt.

“Ernstig datalek” onduidelijk gedefinieerd
Een grote zorg van DDMA is dat een datalek is op basis van de Richtsnoeren al heel snel het predicaat “ernstig” krijgt en dus gemeld moet worden bij het Cbp. Van een ernstig lek is al sprake als niet uitgesloten kan worden dat persoonsgegevens zijn ingezien, verloren, gewijzigd of vernietigd (ja, tenzij). Meijdam: “Voor de werkbaarheid is het beter om melden verplicht te stellen als er een aanmerkelijke kans is dat met de gelekte gegevens een vorm van identiteitsdiefstal kan plaatsvinden. Dit risico zal hoger zijn naarmate het gaat om meer (gevoelige data), zoals bankrekeningnummers, creditcardnummers of een BSN-nummer.”

Termijn melding onrealistisch voor cloud- of SaaS-diensten
De termijn waarbinnen een lek gemeld moet worden, lijkt daarnaast weinig rekening te houden met de complexe realiteit. Meijdam: “De meldtermijn van twee dagen is onrealistisch in gevallen waar organisaties werken met dienstverleners in het buitenland, denk bijvoorbeeld aan Cloud, SaaS of PaaS aanbieders. Er is sowieso sprake van tijdsverschil en daarbij moet het Cbp zich beseffen dat dit grote partijen zijn die niet genegen zullen zijn hun voorwaarden aan te passen op een Nederlandse wet.”

Onduidelijkheid over de status van het document
Met de wet meldplicht datalekken wordt ook de boetebevoegdheid van het Cbp uitgebreid tot €810.000 per overtreding of 10% van de jaaromzet. De boete is direct op te leggen als er sprake eis van opzet of ernstige nalatigheid. In alle andere gevallen moet het Cbp eerst een bindende aanwijzing doen. De vraag is dan welke status deze Richtsnoeren hebben. Zij kunnen gezien worden als een potentieel bindende aanwijzing, die – indien niet nageleefd- zelfstandig beboetbaar is. “Dat is hoogst onwenselijk, maar de behandeling van het wetsvoorstel in de Kamer doet wel vermoeden dat deze Richtsnoeren de status krijgen van lagere regelgeving”, aldus Meijdam.