Eindelijk! Wat hebben we daar lang op gewacht. Het wetsvoorstel was ons al zo vaak beloofd, maar nu is de tekst er echt: de meldplicht datalekken. De tekst is ter consultatie aangeboden en dat betekent dat iedereen Teeven advies mag geven. Bits of Freedom gaat dat zeker doen. Jij ook?
Wat moet een organisatie doen als ze de controle over jouw gegevens verloren is? Dat is waar het allemaal om draait. Het belangrijkste doel van een meldplicht is het jou in staat stellen jezelf te beschermen tegen de gevolgen van zo’n lek. Alleen als je het weet kun je bijvoorbeeld je rekeningnummer blokkeren of je wachtwoord aanpassen. Zo’n meldplicht moet ook bijdragen aan de bewustwording van de risico’s van de grootschalige opslag van persoonsgegevens, beter onderzoek naar aard van de lekken en betere maatregelen voor de bescherming van die gegevens. Gaat dit wetsvoorstel daarbij helpen? Wij denken van wel, maar er moet nog wel aan geschaafd worden.
Het huidige voorstel bepaalt dat iemand die persoonsgegevens verwerkt en daarover de controle verliest een melding moet doen bij het College bescherming persoonsgegevens (Cbp) en bij degene wiens gegevens gelekt zijn. Dat geldt voor iedereen die gegevens verwerkt. Het wetsartikel bepaalt waar die melding precies uit moet bestaan, zoals een beschrijving van het lek en de maatregelen die genomen zijn om de gevolgen te beperken. De melding aan de betrokkene mag achterwege gelaten worden als de gelekte gegevens versleuteld waren. Laat een organisatie het ten onrechte na een melding te doen, dan kan het Cbp tot maximaal 200.000 euro boete opleggen.
“Dit relatief hoge maximum weerspiegelt het belang dat moet worden gehecht aan het geven van transparantie bij [een datalek] en het verlies van vertrouwen dat het gevolg kan zijn van het nalaten van het treffen van de nodige [beveiligings-]maatregelen.”
Op grote lijnen is het een goed voorstel. We zien veel terug uit ons position paper (pdf, uit januari 2010) en onze inbreng bij de consultatie (pdf) van de Europese Comissie. Dat neemt niet weg dat er wel wat te verbeteren is, zo maakt een snelle analyse duidelijk.
- Om nutteloze meldingen te voorkomen zijn er allerlei criteria opgenomen. Die criteria zijn nogal vaag en subjectief. Het voorgestelde wetsartikel begint met:
“De verantwoordelijke stelt het [Cbp] onverwijld in kennis van een inbreuk op de maatregelen […] waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijk risico op verlies of onrechtmatige verwerking waarvan nadelige gevolgen voor de persoonsgegevens en de persoonlijke levenssfeer van de betrokkene zijn verbonden.”
In de toelichting worden die begrippen enigszins uitgelegd. Daaruit blijkt dat het lek van de ledenadministratie van een sportvereniging niet hoeft te worden gemeld. Maar als er ook wachtwoorden zijn gelekt, dan wil je dat juist wél weten. Hoe onverstandig ook, sommige mensen gebruiken hetzelfde wachtwoord voor meerdere accounts. Dat moet dus beter.
- Een meldplicht heeft alleen zin als de melding effectief is. Handige maatregelen kun je alleen maar nemen als je direct op de hoogte wordt gebracht. Een melding op de website van de organisatie, zoals in dit wetsvoorstel wordt genoemd, werkt natuurlijk niet. Het zou betekenen dat je voortdurend op de website van je vereniging moet kijken of er niet een melding van een datalek is toegevoegd. Nee, zo’n melding moet altijd zo direct en persoonlijk mogelijk zijn.
- Een ander belangrijk punt is dat de meldingen aan het Cbp niet openbaar worden. Het is de bedoeling dat het Cbp in haar jaarverslag slechts enkele totalen opneemt. Wij denken dat het beter is om dat wél een openbaar te maken. Alleen dan kunnen onderzoekers de lekken analyseren en iets zeggen over de soort datalekken en kunnen bedrijven van eerdere fouten leren en jouw gegevens direct beter beveiligen.
Het wetsvoorstel is nu “ter consultatie” aangeboden. Het is een openbare consultatie, dus iedereen mag zijn advies geven – ook jij. Bits of Freedom zal daar zeker van gebruik maken. Als je suggesties hebt voor punten, dan horen we dat graag.
Wie van jullie heeft het voorstel gelezen? Wat valt jullie op? En wat kan beter?
Johan
Ik blijf dit een moeilijk onderwerp vinden. Persoonlijk ben ik een grote voorstander van transparantie. En in mijn ogen ligt privacy aan de andere kant van het spectrum. Het zijn vooral ook mensen die wat te verbergen hebben die erg op privacy aandringen. Is mijn mening, misschien wat zwart-wit, maar ik denk even hardop. Mijn motto; Big Brother can watch us, if we can watch Big Brother!
Dan
Als beheerder van een hoop persoonsgegevens van de minder kritieke aard ben ik tegen directe openbaarmaking. Een openbaarmaking heeft namelijk twee effecten (en niet slechts een): het informeert de betrokkenen en het genereert media aandacht. Het eerste is bij IT beveiliging soms erg moeilijk (wat is de impact van incident X). Het tweede, ‘de media’, is m.i. vooral gericht op stemmingmakerij en laat weinig ruimte meer voor nuance. Mijn conclusie: Laat de toezichthouder beslissen en contact opnemen.
De OPTA laat zien dat toezichthouders toch (enigszins) effectief kunnen zijn. In mijn bedrijf is dat genoeg om bepaalde processen in gang te zetten (ex-klantdata na 1 maand echt vernietigen e.d.).
Rejo Zenger
Openbaarmaken op zich is geen doel. Wat ons betreft meldt een organisatie het lek aan de betrokkenen en aan een toezichtshouder. Uiteraard zullen sommige lekken door de media worden opgepakt, maar dat is niet een doel op zich.
Met het melden aan de toezichtshouder worden een aantal effecten beoogd: het moet een stimulans zijn voor organisaties om de beveiliging van de persoonsgegevens op orde te hebben, het maakt mogelijk dat organisaties van de fouten van anderen leren voor wat betreft de aard en de omvang van de inbreuk en het maakt ook mogelijk dat andere beleidsmakers er beter beleid op kunnen baseren.
Zonder meer vertrouwen op de toezichtshouder (in dit geval niet de OPTA maar het CBP) is onverstandig: het CBP beschikt over beperkte middelen en kan lang niet alle zaken die zij aangeboden krijgt oppakken.
Willem
Ik vind het wel mooi, maar ook bedreigend, dat de memorie expliciet een opening maakt voor het opbouwen van private databases met zelf verzamelde informatie rond overtredingen. Zeg een databank die gezichten van passanten langs de meetlat van overlastgevers in het verleden en in de nabije toekomst legt.