Organisaties die persoonsgegevens verwerken worden binnenkort verplicht om inbreuken die leiden tot diefstal, verlies of misbruik van persoonsgegevens te melden, las ik bij Nu.nl. Dat is dan wel voor grote waarden van ‘binnenkort’, want het is nog maar een wetsvoorstel dat naar de Tweede Kamer is gestuurd. En ik ben niet onder de indruk van deze slappehapstekst.
Onder de privacywet, de Wet bescherming persoonsgegevens, is iedereen die persoonsgegevens verzamelt verplicht deze ‘adequaat’ te beveiligen. Wat precies adequaat is, staat niet in de wet. Dat is te afhankelijk van het soort gegevens en het soort misbruik dat op de loer ligt, is de gedachte. De toezichthouder heeft richtsnoeren voor beveiliging gepubliceerd, maar heel concreet worden die ook niet.
Dit wetsvoorstel verandert daar niets aan. Er komt dus geen boete op het inadequaat beveiligen van persoonsgegevens. Wél komt er nu een eis voor iedere verantwoordelijke om het Cbp te informeren bij iedere inbreuk op de beveiliging “waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens die door hem worden verwerkt.” Tevens moet hij de betrokken personen zélf ook informeren als “de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.”
Klinkt leuk, niet? Natuurlijk, je wilt triviale meldingen vermijden (“de deur naar onze administratie stond tien minuten open” of “mogelijk heeft iemand op mijn scherm naar het openstaande adresboek gekeken”). Vandaar dat ‘aanmerkelijke kans’ en de wens dat er wel ‘nadelige gevolgen’ zijn. Maar dan pak ik de Memorie van Toelichting er even bij en blijkt de lat voor een melding wel héél vaag, hoog gelegd te worden:
Het zoekraken of hacken van de ledenadministratie van een sportvereniging zal doorgaans leiden tot het nodige ongemak voor vereniging en leden, maar zal niet snel aanleiding geven tot een melding bij het Cbp. De gevolgen van een dergelijk datalek blijven doorgaans beperkt en ook van betrokkenen kan worden gevergd dat zij een zekere mate van risico aanvaarden. Dat is nu eenmaal onlosmakelijk verbonden met het normaal vertrouwen in maatschappelijke verhoudingen.
Dat mijn vereniging zijn database niet goed beveiligt, is dus kennelijk niet erg? Wat voor soort sites wordt er ook alweer massaal gehackt elke week? Zijn dat banken of webwinkels? Gemeentelijke administraties of sportverenigingen? Wie het Zwartboek Datalekken van Bits of Freedom doorbladert, zal zich hopelijk net als ik afvragen waarom in vredesnaam zo’n opmerking gemaakt moest worden.
Wél gemeld moeten datalekken bij de Belastingdienst, Sociale Verzekeringsbank (SVB) of een commerciële bank of verzekeraar, zo noemt men als voordelen. Want dat “kan leiden tot financieel nadeel bij de
betrokkene of tot de compromittering van gegevens die beschermd worden door een geheimhoudingsplicht”, zo staat er dan. Dus réken maar dat de bedrijfsjurist van ieder getroffen bedrijf meteen redeneert, de door ons beheerde persoonsgegevens vallen niet onder een wettelijke geheimhoudingsplicht en wij zijn geen bank, dus mooi we hoeven niets te melden.
Argh. Die zin “financieel nadeel” gaat daarmee nogal een lastig criterium worden om iemand aan te pakken. Grootste probleem is en blijft namelijk dat de schade door misbruik van persoonsgegevens niet goed te kwantificeren is. Wat kost een gelekt e-mailadres mij? Hoe veel schade ondervind ik (meetbaar en met bonnetjes te onderbouwen) als mijn BSN op een vage site staat?
Nee. Gemiste kans, dit. Het had veel simpeler gekund: boete bij inadequate beveiliging, hoogte direct gerelateerd aan de hoeveelheid gegevens in de database en het soort gegevens. Daarover lees ik dan dit:
Dit alternatief is nadrukkelijk overwogen. Het heeft als voordeel dat beveiliging als aspect van de bescherming van persoonsgegevens integraal wordt aanpakt. Daar staat echter tegenover dat artikel 13 van de Wbp een algemeen-abstract geformuleerde norm is. De handhaving van dergelijke normen vraagt afzonderlijke aandacht uit hoofde van artikel 7 van het Europees Verdrag ter bescherming van de rechten van de mens en de fundamentele vrijheden, vooral op het punt van het lex certa beginsel en de kwestie van de voorzienbaarheid van overtredingen.
Poe poe nou nou, het EVRM en lex certa. Vertaald naar normaal Nederlands: dan gaat het bedrijfsleven zeuren “ja maar wij weten niet wanneer een beveiliging ‘adequaat’ is dus dan staat er een boete op iets vaags”. Nou sorry hoor, maar als de maatschappelijke zorgvuldigheid als norm duidelijk genoeg is, waarom dit dan niet? (En ja ik weet het verschil tussen civiel en bestuursrecht.) Of iets adequaat is, kun je prima vaststellen – doe een audit of laat een deskundige er wat over zeggen.
Of, heel simpel, als er gegevens op straat zijn gekomen dan was je beveiliging inadequaat. Vinden we persoonsgegevens nou waardevol om te beschermen of niet?
Arnoud