Eindelijk! Wat hebben we daar lang op gewacht. Het wetsvoorstel was ons al zo vaak beloofd, maar nu is de tekst er echt: de meldplicht datalekken. De tekst is ter consultatie aangeboden en dat betekent dat iedereen Teeven advies mag geven. Bits of Freedom gaat dat zeker doen. Jij ook?

Wat moet een organisatie doen als ze de controle over jouw gegevens verloren is? Dat is waar het allemaal om draait. Het belangrijkste doel van een meldplicht is het jou in staat stellen jezelf te beschermen tegen de gevolgen van zo’n lek. Alleen als je het weet kun je bijvoorbeeld je rekeningnummer blokkeren of je wachtwoord aanpassen. Zo’n meldplicht moet ook bijdragen aan de bewustwording van de risico’s van de grootschalige opslag van persoonsgegevens, beter onderzoek naar aard van de lekken en betere maatregelen voor de bescherming van die gegevens. Gaat dit wetsvoorstel daarbij helpen? Wij denken van wel, maar er moet nog wel aan geschaafd worden.

Het huidige voorstel bepaalt dat iemand die persoonsgegevens verwerkt en daarover de controle verliest een melding moet doen bij het College bescherming persoonsgegevens (Cbp) en bij degene wiens gegevens gelekt zijn. Dat geldt voor iedereen die gegevens verwerkt. Het wetsartikel bepaalt waar die melding precies uit moet bestaan, zoals een beschrijving van het lek en de maatregelen die genomen zijn om de gevolgen te beperken. De melding aan de betrokkene mag achterwege gelaten worden als de gelekte gegevens versleuteld waren. Laat een organisatie het ten onrechte na een melding te doen, dan kan het Cbp tot maximaal 200.000 euro boete opleggen.

“Dit relatief hoge maximum weerspiegelt het belang dat moet worden gehecht aan het geven van transparantie bij [een datalek] en het verlies van vertrouwen dat het gevolg kan zijn van het nalaten van het treffen van de nodige [beveiligings-]maatregelen.”

Op grote lijnen is het een goed voorstel. We zien veel terug uit ons position paper (pdf, uit januari 2010) en onze inbreng bij de consultatie (pdf) van de Europese Comissie. Dat neemt niet weg dat er wel wat te verbeteren is, zo maakt een snelle analyse duidelijk.

• Om nutteloze meldingen te voorkomen zijn er allerlei criteria opgenomen. Die criteria zijn nogal vaag en subjectief. Het voorgestelde wetsartikel begint met:

  “De verantwoordelijke stelt het [Cbp] onverwijld in kennis van een inbreuk op de maatregelen […] waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijk risico op verlies of onrechtmatige verwerking waarvan nadelige gevolgen voor de persoonsgegevens en de persoonlijke levenssfeer van de betrokkene zijn verbonden.”

  In de toelichting worden die begrippen enigszins uitgelegd. Daaruit blijkt dat het lek van de ledenadministratie van een sportvereniging niet hoeft te worden gemeld. Maar als er ook wachtwoorden zijn gelekt, dan wil je dat juist wél weten. Hoe onverstandig ook, sommige mensen gebruiken hetzelfde wachtwoord voor meerdere accounts. Dat moet dus beter.

• Een meldplicht heeft alleen zin als de melding effectief is. Handige maatregelen kun je alleen maar nemen als je direct op de hoogte wordt gebracht. Een melding op de website van de organisatie, zoals in dit wetsvoorstel wordt genoemd, werkt natuurlijk niet. Het zou betekenen dat je voortdurend op de website van je vereniging moet kijken of er niet een melding van een datalek is toegevoegd. Nee, zo’n melding moet altijd zo direct en persoonlijk mogelijk zijn.
• Een ander belangrijk punt is dat de meldingen aan het Cbp niet openbaar worden. Het is de bedoeling dat het Cbp in haar  jaarverslag slechts enkele totalen opneemt. Wij denken dat het beter is om dat wél een openbaar te maken. Alleen dan kunnen onderzoekers de lekken analyseren en iets zeggen over de soort datalekken en kunnen bedrijven van eerdere fouten leren en jouw gegevens direct beter beveiligen.

Het wetsvoorstel is nu “ter consultatie” aangeboden. Het is een openbare consultatie, dus iedereen mag zijn advies geven – ook jij. Bits of Freedom zal daar zeker van gebruik maken. Als je suggesties hebt voor punten, dan horen we dat graag.

Wie van jullie heeft het voorstel gelezen? Wat valt jullie op? En wat kan beter?