Bits of Freedom houdt een Zwartboek Datalekken bij om aandacht te vragen voor een groeiend probleem: er wordt steeds meer informatie over ons opgeslagen, en het risico dat die informatie kwijtraakt groeit daarmee ook. Nu zijn er ook kamervragen over gesteld door de SP.

De regering kondigde al een tijd geleden aan dat zij bedrijven en organisaties zou verplichten om aan slachtoffers te melden dat hun gegevens op straat zijn komen te liggen. Bits of Freedom heeft vorig jaar een wetsvoorstel ingediend dat databankbeheerders verplicht om datalekken direct te melden. Zij heeft dat wetsvoorstel toegelicht in een position paper (PDF) (HTML). Die regeling is er echter nog steeds niet. Sharon Gesthuizen van de SP dringt er in kamervragen bij de regering op aan dat die plicht wordt ingevoerd:

Gesthuizen (SP) aan de ministers van Justitie en Economische Zaken over het invoeren van een meldplicht voor datalekken

1. Kent u het bericht ‘Creditcardgegevens Armin van Buuren gestolen’? 1) Wat vindt u er van dat dit slachtoffer van diefstal van zijn gegevens daarover door de onderzoekers moest worden ingelicht en dat de financiële instelling waarvan de creditcardgegevens zijn gestolen dat kennelijk nog niet gedaan had?

2. Deelt u de mening dat de klant altijd geïnformeerd zou moeten worden over het feit dat zijn of haar persoonsgegevens zijn gestolen door het bedrijf dat deze gegevens beheert? Wanneer denkt u de door u toegezegde meldplicht voor datalekken in te kunnen voeren? 2) en 3)

3. Deelt u de mening dat een breed geldende meldplicht ook zal bevorderen dat bedrijven dergelijke gevoelige gegevens nog beter zullen beveiligen?

4. Op welke wijze zal de meldplicht voor datalekken voor de overheid worden geregeld? En op welke wijze voor de private sector? Bent u inmiddels nagegaan ‘of er aanvullende wetgeving nodig is of convenanten of een combinatie daarvan’? 2)

5
Klopt het dat de aangekondigde wijziging van de Telecommunicatiewet slechts regelt dat er een meldplicht gaat gelden voor de Internet Service Providers? Deelt u mijn mening dat deze meldplicht ook zou moeten gelden voor bedrijven (zoals financiële instellingen) die persoonsgegevens beheren in geval van verlies van persoonsgegevens uit datasystemen? Zo niet, waarom niet? In welke wet zou dat kunnen worden geregeld, en op welke wijze?

1) http://www.automatiseringgids.nl/it-in-bedrijf/beheer/2010/36/creditcardgegevens-dj-armin-van-buuren-gestolen.aspx
2) Tweede Kamer, vergaderjaar 2009-2001, 31051, nr. 7
3) Tweede Kamer, vergaderjaar 2009-2001, Aanhangsel van de Handelingen nummer 753