Op 26 mei heeft in de Eerste Kamer de plenaire behandeling plaatsgevonden van het voorstel betreffende de wijziging van de Wet bescherming persoonsgegevens (Wbp), ook wel bekend als ‘meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp’. Het wetsvoorstel is zonder stemming door de Eerste Kamer aangenomen. Hiermee komt een proces ten einde dat medio 2013 van start is gegaan. Overigens is al in eerder stadium een poging gedaan om een meldingsplicht te introduceren. In 2005 is de motie Gerkens-Van Dam ingediend, die voorzag in een meldingsplicht in geval van een hack van een computersysteem. Destijds werd daar niet al te enthousiast op gereageerd en belandde de motie in de prullenbak. Tien jaar later is daar echter de meldplicht datalekken, welke met enige fantasie als een uitvloeisel van deze motie beschouwd kan worden.
De nieuwe wet kenmerkt zich hoofdzakelijk door twee onderwerpen, namelijk de meldplicht datalekken en de bestuurlijke boetebevoegdheid van het Cbp, en het is nu wachten op de afkondiging en de inwerkingtreding van de nieuwe wet. Tot dan heeft het College bescherming persoonsgegevens - dadelijk ‘Autoriteit Persoonsgegevens’ geheten - de tijd om haar richtsnoeren (beleidsregels) zo op te stellen dat deze voor burgers en bedrijven voldoende duidelijkheid bieden over de precieze bedoelingen van de nieuwe wet en de praktische toepassingen.
Wachten op de richtsnoeren van de meldplicht datalekken
Waarom wachten op die richtsnoeren? Eigenlijk om de reden die hierboven als staat, namelijk duidelijkheid bieden aan burgers en bedrijven. Binnen de nieuwe wet wordt een aantal kaders gesteld waarbinnen het bedrijven verplicht is gesteld om een (dreigend) datalek te melden en waar ook de rechten van burgers zijn beschreven. Helaas is het in de praktijk niet altijd duidelijk zwart-wit gesteld en kan er discussie ontstaan over de uitleg van de wet. Is er wel sprake van een datalek? Zijn er wel of geen persoonsgegevens bij betrokken? Moeten betrokkenen worden ingelicht, en zo ja, op welke wijze? Om deze discussies zo veel als mogelijk te voorkomen stelt het Cbp richtsnoeren op, net zoals zij richtsnoeren heeft opgesteld voor de beveiliging van persoonsgegevens (https://cbpweb.nl/nl/richtsnoeren-beveiliging-van-persoonsgegevens-2013).
Om aan te geven waarom de richtsnoeren handig kunnen zijn, volgt hier de omschrijving van een meldingsplichtig datalek: ‘een inbreuk op de beveiliging ….. die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.’ Voor bedrijven en organisaties zal het niet altijd eenvoudig zijn om op basis van alleen deze omschrijving te bepalen of het iets gemeld moet worden of niet. Het Cbp biedt met haar richtsnoeren ondersteuning aan de te maken afwegingen, zodat duidelijker wordt of een datalek gemeld moet worden en wanneer niet. Overigens heeft de wetgever er bewust voor gekozen, zo blijkt uit de kamerstukken, om de omschrijving zo ruim mogelijk te houden, zodat iedereen, van zzp-er tot aan een multinational, er in de basis mee uit de voeten kan.
Bedrijven en organisaties nemen allerlei maatregelen om datalekken te voorkomen. 100% veiligheid bestaat echter niet, dus hoe staat het met de maatregelen die genomen worden als het toch een datalek komt? Is er beleid op geschreven en zijn de procedures zodanig dat de (wettelijk) gewenste acties genomen worden? Maakt de melding deel uit van een Incident Response Plan of iets van dien aard? Voor bedrijven en organisaties is het verstandig - als ze dat nog niet gedaan hebben - met spoed te kijken naar hun eigen beleidsregels en procedures in het geval er sprake is van een datalek. Ook al is het nu wachten op de richtsnoeren van het Cbp, men kan maar beter beslagen ten ijs komen…