Knowledge Portal NJB 2012/1415 Aflevering NJB 2012, afl. 25 Publicatiedatum 22-06-2012 Auteur Friederike van der Jagt [1]
Titel Iets te melden? De diverse datalekmeldplichten in kaart gebracht
Samenvatting Bedrijven moeten zich gaan voorbereiden op diverse meldplichten want er liggen verschillende wetsvoorstellen op zowel nationaal als Europees niveau die voorzien in nadere verplichtingen om datalekken te melden. Om schade ontstaan uit een lek zoveel mogelijk te voorkomen en de voorgenomen sancties te ontlopen, is een adequate bedrijfsvoering op dit punt van groot belang. Dit artikel geeft een overzicht van deze voorstellen. Daarbij zal aandacht worden besteed aan de voorgestelde meldplicht voor de telecommunicatiesector, de voorstellen voor de invoering van een algemene meldplicht ten aanzien van inbreuken op persoonsgegevens en het plan om een zogenaamde ‘security breach notification’ in te voeren.
Tekst De DigiNotar-affaire, waarbij na een hack valse beveiligingscertif caten waren uitgegeven, heeft pijnlijk duidelijk gemaakt dat websites vaak niet goed beveiligd zijn. De website Webwereld riep vervolgens oktober 2011 uit tot ‘Lektober’, waarbij elke dag een ander ICT-privacylek bij de overheid of in het bedrijfsleven werd gepubliceerd. [2] Recentelijk bleek dat door een lek in het ictsysteem Humannet, de personeels- en medische dossiers van meer dan 300 000 werknemers op straat lagen. [3] Deze gebeurtenissen hebben de discussie over de beveiliging van persoonsgegevens nieuw leven ingeblazen. Maar de vraag in hoeverre een bedrijf verplicht moet worden om datalekken te melden speelt langer. Partijen kunnen contractueel overeenkomen dat zij datalekken aan elkaar melden. Dit kan tevens op grond van de redelijkheid en billijkheid ex art. 6:248 BW uit een overeenkomst voortvloeien. Ook bij een overeenkomst tot opdracht kan op grond van art. 7:401 BW worden aangenomen dat een opdrachtnemer in het kader van zijn zorgplicht, de opdrachtgever op de hoogte moet stellen van een datalek binnen zijn organisatie. Het niet-melden van een datalek kan buiten een contractuele relatie om ook leiden tot een onrechtmatige daad ex art. 6:162 BW. Naast deze civielrechtelijke verplichtingen geldt dat een ieder op grond van art. 160 Sv verplicht is om aangifte te doen bij de politie indien hij kennis draagt van bepaalde bijzondere misdrijven waarbij sprake is van een levensgevaarlijke situatie of van schending van een staatsgeheim. Hier kunnen misdrijven onder vallen waarbij sprake is van datalekken. Tevens kan worden betoogd dat uit de Wet bescherming persoonsgegevens (Wbp) een impliciete verplichting tot het melden van datalekken kan worden afgeleid ex art. 6 Wbp (de verplichting om gegevens zorgvuldig te verwerken) en/of de informatieverplichtingen ex art. 33 en 34 Wbp. Voor f nanciële instellingen gelden op grond van de Wet op het f nancieel toezicht (Wft) specif eke meldplichten. Er zijn momenteel verschillende wetsvoorstellen op zowel nationaal als Europees niveau die voorzien in nadere verplichtingen om datalekken te melden. Dit artikel geeft een overzicht van deze voorstellen. Daarbij zal aandacht worden besteed aan de voorgestelde meldplicht voor de telecommunicatiesector, de voorstellen voor de invoering van een algemene meldplicht ten aanzien van inbreuken op persoonsgegevens en het plan om een zogenaamde ‘ security breach notification’ in te voeren. Meldplicht op grond van de Telecommunicatiewet De Eerste Kamer heeft onlangs het wetsvoorstel tot herziening van de Telecommunicatiewet (Tw) aangenomen. [4] Met deze wetswijziging zullen onder meer de Richtlijn Burgerrechten [5] en de Richtlijn Betere Regelgeving [6] worden geïmplementeerd. [7] In de Richtlijn Burgerrechten is een meldplicht opgenomen ten aanzien van inbreuken op persoonsgegevens. De Richtlijn Betere Regelgeving bevat een verplichting tot het melden van veiligheidsinbreuken en integriteitsverlies die een impact hebben op de continuïteit van openbare elektronische communicatienetwerken en -diensten. Beide meldplichten gelden uitsluitend voor de aanbieders van openbare elektronische communicatienetwerken en -diensten. [8] Gelet op de reikwijdte van dit artikel wordt deze tweede meldplicht slechts kort aangestipt. De achtergrond van de eerste meldplicht is erin gelegen dat een inbreuk op persoonsgegevens voor een betrokkene zeer nadelige consequenties kan hebben wanneer hij hiervan niet tijdig op de hoogte is en het achterliggende probleem niet adequaat wordt opgelost. [9] Dit kan leiden tot maatschappelijke schade, identiteitsfraude of economisch verlies. Het wetsvoorstel def nieert het begrip ‘ inbreuk‘ in een nieuw art. 11.1 onderdeel j Tw als: ‘ een inbreuk op de beveiliging die resulteert in een onbedoelde of onwettige vernietiging, verlies, wijziging, niet geautoriseerde toegang tot persoonsgegevens die zijn verstuurd, opgeslagen of anderszins verwerkt in verband met de levering van een openbare elektronische communicatiedienst in de Europese Unie. ’ In art. 11.3a Tw is de meldplicht ten aanzien van privacyinbreuken opgenomen: ‘ De aanbieder van een openbare elektronische communicatiedienst stelt het college onverwijld in kennis van een inbreuk op de beveiliging [….] die nadelige gevolgen heeft voor de bescherming van persoonsgegevens […] ’ (lid 1). Alleen inbreuken die plaatsvinden op het eigen netwerk van de aanbieder moeten gemeld worden. [10] Verschillende Europese toezichthouders leggen dit echter breder uit; ook zoekgeraakte USB-sticks of verloren laptops kunnen hieronder vallen. [11] Met ‘ het college’ wordt de Onafhankelijke Post en Telecommunicatieautoriteit (OPTA) bedoeld. De OPTA kan onderzoeken of sprake is van een inbreuk die invloed heeft op de persoonlijke levenssfeer van de betrokkenen, of de aanbieder de juiste maatregelen neemt en bezien of de betrokkenen moeten worden geïnformeerd. [12] De aanbieder moet zelf de betrokkenen wier persoonsgegevens het betreft onverwijld in kennis stellen als het waarschijnlijk is dat de inbreuk ongunstige gevolgen zal hebben voor de privacy van de betrokkene (lid 2). Zowel bij de melding aan de OPTA als aan de betrokkene moeten de aard
van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de maatregelen die worden aangeraden om de negatieve gevolgen van de inbreuk te beperken vermeld worden. Bij de melding aan de OPTA moeten tevens de gevolgen van de inbreuk op de persoonsgegevens en de maatregelen die zijn of zullen worden genomen om de inbreuk aan te pakken worden vermeld (lid 3). Het kan zo zijn dat een aanbieder besluit om de betrokkenen niet te informeren, omdat hij meent dat het niet waarschijnlijk is dat de inbreuk ongunstige privacygevolgen zal hebben. Indien de OPTA hier anders over denkt, kan zij de aanbieder verplichten alsnog de betrokkenen over de inbreuk te informeren (lid 4). Daartegenover staat, dat de betrokkenen niet hoeven te worden geïnformeerd indien de OPTA oordeelt dat de aanbieder de betreffende persoonsgegevens dusdanig heeft versleuteld, dat derden die geen recht hebben op toegang tot de persoonsgegevens, niets met de versleutelde data kunnen (lid 5). Aanbieders moeten ook een niet-openbare lijst bijhouden waarop alle inbreuken op de persoonsgegevens vermeld staan (lid 6). [13]
Het nieuwe hoofdstuk 11a Tw ziet op de continuïteit van de openbare elektronische communicatienetwerken en -diensten en bevat de meldplicht ten aanzien van veiligheidsinbreuken en integriteitsverlies (art. 11a.2 Tw). [14] In de praktijk kan er een overlap bestaan tussen een privacyinbreuk en een veiligheidsinbreuk. Om de administratieve lasten zoveel mogelijk te beperken, is er een centraal loket Meldplicht Telecomwet ingesteld bij het Agentschap Telecom. [15] Het loket fungeert als doorgeef uik naar de juiste instantie(s). [16] Op de website van het loket zullen twee formulieren worden geplaatst waarmee de melding kan worden verricht. Er is ook een speciaal telefoonnummer waar 24 uur per dag gemeld kan worden. [17] Op grond van de voorgestelde wijzigingen van art. 15.1 Tw en het huidige art. 15.4 Tw is de OPTA (ten aanzien van privacy-inbreuken) respectievelijk de Minister van Economische Zaken (ten aanzien van veiligheidsinbreuken) bevoegd om een bestuurlijke boete van maximaal € 450 000 op te leggen. Diverse telecomaanbieders hebben aangegeven dat zij zich zorgen maken over de uitvoerbaarheid van de meldplicht. De reden daarvoor is dat een veiligheidsinbreuk niet altijd kenbaar en een privacyinbreuk niet altijd makkelijk te achterhalen is. [18] De memorie van toelichting stelt daarover dat indien de beveiligingsmaatregelen in orde zijn maar toch een privacyinbreuk plaatsvindt die niet wordt opgemerkt, het niet-melden daarvan niet aan de aanbieder zal worden tegengeworpen. [19] Hoewel begrijpelijk, vormt deze uitleg het startpunt van discussie over wanneer een inbreuk al dan niet opgemerkt had moeten worden. De praktijk zal moeten uitwijzen hoe de toezichthouder hiermee omgaat. Meldplicht op grond van de Wet bescherming persoonsgegevens In december 2011 is een voorontwerp tot aanpassing van de Wbp gepresenteerd. Het voorontwerp bevat een meldplicht voor zowel publieke als private partijen [20] in het geval van een beveiligingsincident met gevolgen voor de privacy van de betrokkene. [21] Doelstelling van deze verplichting is dat voor de betrokkenen inzichtelijk wordt gemaakt wanneer hun privacy mogelijk in het geding is (transparantie). Volgens de memorie van toelichting zullen overheden, bedrijven en personen zorgvuldiger met persoonsgegevens omgaan als duidelijk wordt wat de consequenties zijn van computercriminaliteit of onzorgvuldige omgang met persoonsgegevens. Dit zal naar verwachting leiden tot investeringen in een betere beveiliging van de persoonsgegevens. [22] De meldplicht sluit zoveel mogelijk aan bij art. 11.3a Tw en zal voor alle soorten persoonsgegevens gelden. Het nieuwe art. 34a Wbp stelt dat een verantwoordelijke, dat is degene die het doel en de middelen van de gegevensverwerking vaststelt [23] , onverwijld een melding moet doen bij het College bescherming persoonsgegevens (‘Cbp’) indien een inbreuk plaatsvindt op een van de beveiligingsmaatregelen ex art. 13 Wbp, waarvan ‘ redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijk risico op verlies of onrechtmatige verwerking waaraan nadelige gevolgen voor de persoonsgegevens en de persoonlijke levenssfeer van de betrokkene zijn verbonden. ’ Art. 13 van de Wbp verplicht een verantwoordelijke om passende technische en organisatorische beveiligingsmaatregelen te nemen. Om nodeloze meldingen te voorkomen is er gekozen voor een risicocriterium. Dit betekent dat, nadat is vastgesteld dat sprake is van een inbreuk op een beveiligingsmaatregel, geobjectiveerd gekeken moet worden of de inbreuk ertoe heeft geleid dat redelijkerwijs kan worden aangenomen dat er een aanmerkelijk risico is dat de persoonsgegevens zijn blootgesteld aan verlies of aan een onrechtmatige verwerking. [24] Er is kritiek dat het nieuwe art. 34a Wbp wordt gekoppeld aan art. 13 Wbp. De reden daarvoor is dat daadwerkelijk beveiligingsmaatregelen moeten zijn getroffen, wil sprake kunnen zijn van een inbreuk op een beveiligingsmaatregel. Dit zou kunnen leiden tot de vreemde situatie dat een bedrijf dat zich niet houdt aan art. 13 Wbp en vervolgens data lekt, dit niet hoeft te melden, omdat er geen sprake is (lees: kan zijn) van een inbreuk op een beveiligingsmaatregel. [25] Ook zal, indien de beveiliging niet op orde is, een inbreuk vaker niet worden opgemerkt en derhalve niet worden gemeld. De memorie van toelichting stelt dat steeds moet worden gekeken naar de omstandigheden van het geval. Daarbij wordt als voorbeeld het zoekraken van de ledenadministratie van een sportvereniging gegeven. Dit zal echter niet snel leiden tot een melding bij het Cbp, nu de gevolgen voor de leden waarschijnlijk beperkt zullen blijven en niet alle risico’s volledig zijn uit te sluiten. Een datalek bij de Belastingdienst zal daarentegen veel grotere gevolgen hebben, mede omdat hier een geheimhoudingsplicht wordt geschonden. [26] Ook de betrokkenen van wie persoonsgegevens gelekt zijn, moeten onverwijld op de hoogte worden gebracht. Aan zowel het Cbp als de betrokkene moet de aard van de inbreuk en het contactpunt voor nadere informatie worden gemeld, alsmede de maatregelen die een betrokkene kan nemen om de negatieve gevolgen te beperken (lid 3). De verantwoordelijke kan de betrokkene er bijvoorbeeld op wijzen dat hij zijn wachtwoorden moet aanpassen. Hoewel het verrichten van een melding geen gevolgen heeft voor de mogelijkheid om ex art. 49 Wbp door een betrokkene aansprakelijk te worden gehouden voor de geleden schade, kan de melding er wel voor zorgen dat voldaan wordt aan de schadebeperkingsplicht. Daarnaast kan in bepaalde gevallen aan de betrokkene eigen schuld worden verweten indien hij de door de verantwoordelijke aanbevolen maatregelen niet neemt. [27]
Aan het Cbp moet ook een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk op de verwerkte persoonsgegevens worden verstrekt alsmede van de maatregelen die de verantwoordelijke heeft genomen of voorstelt (lid 4). De melding aan het Cbp kan op initiatief van de verantwoordelijke geheel of gedeeltelijk vertrouwelijk worden verricht. [28] Het voorontwerp geeft ook de mogelijkheid dat voor de melding aan het Cbp een formulier zal worden voorgeschreven. [29] Bij de kennisgeving aan de betrokkene moet worden gezorgd voor een behoorlijke en zorgvuldige informatievoorziening, rekeninghoudend met de aard en de gevolgen van de inbreuk, de kring van de betrokkenen en de kosten (lid 5). Bij een klein aantal betrokkenen kan gekozen worden voor een persoonlijk bericht en bij een groter aantal voor een websitebericht en een advertentie in de dagbladen. Ook bij deze meldplicht geldt dat indien de persoonsgegevens naar het oordeel van het Cbp adequaat versleuteld zijn, geen melding aan de betrokkenen hoeft plaats te vinden (lid 6). Het Cbp kan een verantwoordelijke die geen kennisgeving aan de betrokkenen doet, hiertoe alsnog verplichten (lid 7). Net zoals onder de Tw zal de verantwoordelijke een overzicht moeten bijhouden van de diverse incidenten, dus ook van de incidenten die niet gemeld dienen te worden (lid 8). Onder de huidige Wbp zijn de sanctiemogelijkheden beperkt. Daarom wordt in art. 66 lid 2 Wbp de mogelijkheid gecreëerd dat het Cbp een bestuurlijke boete van € 200 000 kan opleggen bij overtreding van de meldplicht. Tot slot bevat het voorontwerp nog een wijziging van de Tw waarbij het toezicht op de meldplicht ex art. 11.3a Tw wordt ondergebracht bij het Cbp. Dit betekent dat de bestuurlijke boete verlaagd wordt naar € 200 000. Voor het centrale loket Meldplicht Telecomwet hoeft dit geen gevolgen te hebben, nu zij als doorgeef uik de melding in het vervolg dan simpelweg kan doorgeven aan het Cbp.
Vanuit de brancheorganisatie voor ICT- en Telecombedrijven, ICT~Off ce, is zeer kritisch op het voorontwerp gereageerd. [30] Het wetsvoorstel zou tot dubbele implementatielasten en onduidelijkheid voor het bedrijfsleven leiden, nu er ook al wetgeving vanuit Europa op handen is die hierna nog aan de orde komt. Daarnaast wordt de daadwerkelijke effectiviteit van de meldplicht in twijfel getrokken. Ook wordt de rol van het Cbp bekritiseerd, gelet op onder meer diens handhavingscapaciteit. De verwachting is namelijk dat de nieuwe meldplicht zal leiden tot zo’n 66 000 meldingen bij het CBP per jaar, terwijl hier geen extra middelen voor worden vrijgemaakt. [31] De motie-Hennis-Plasschaert [32] Er zijn situaties denkbaar (buiten de telecommunicatiesector) waarbij geen persoonsgegevens worden verwerkt, maar waarbij inbreuken wel grote gevolgen kunnen hebben voor vitale informatiesystemen in de samenleving. De motie-Hennis-Plasschaert roept de regering op om een wettelijke meldplicht in te stellen, waarbij iedere ‘security breach’ door organisaties die betrokken zijn bij voor de samenleving vitale informatiesystemen verplicht gemeld moet worden bij het Nationaal Cyber Security Centrum. Voor het zomerreces zal de Tweede Kamer nader geïnformeerd worden over de inrichting van deze meldplicht. [33] Meldplicht op grond van Europese Privacyverordening Onlangs heeft de Europese Commissie een concept-Privacyverordening [34] gepresenteerd die de huidige Privacyrichtlijn, [35] waarop de Wbp gebaseerd is, moet gaan vervangen. In de Verordening is een algemene verplichting opgenomen om íeder datalek, zijnde ‘ een inbreuk op de beveiliging met de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk, hetzij onrechtmatig, tot gevolg ’ (art. 4 lid 9) binnen 24 uur te melden aan de toezichthouder (art. 31). Dit is een duidelijk verschil met het voorgestelde art. 34a Wbp, waarbij een inbreuk alleen gemeld hoeft te worden indien deze aan het risicocriterium voldoet. Het Cbp meent dat art. 34a Wbp hierop zoveel mogelijk zou moeten aansluiten. [36] Ook zijn er inhoudelijke verschillen ten aanzien van de kennisgeving aan de toezichthouder, omdat niet kan worden volstaan met een algemene omschrijving van de aard van de inbreuk, maar op grond van art. 31 lid 3 onderdeel a onder meer ook het aantal betrokkenen waarvan de persoonsgegevens door de inbreuk worden geraakt moet worden gemeld. [37] Indien het lek niet binnen 24 uur gemeld wordt, moet de verantwoordelijke motiveren waarom dit het geval is. In vergelijking met het voorgestelde art. 34a Wbp rijst de vraag of het begrip ‘ onverwijld’ gelijk getrokken zou moeten worden met de 24-uurstermijn. Of betekent het dat de verantwoordelijke juist minder of meer dan 24 uur gegund wordt? Het Cbp heeft aangegeven dat in art. 34a Wbp een termijn van maximaal 24 uur na de eerste kennisname van de inbreuk zou moeten worden opgenomen, zodat deze termijnen op elkaar aansluiten. [38] De bewerker, dat is degene die in opdracht van de verantwoordelijke persoonsgegevens verwerkt, moet de verantwoordelijke actief bijstaan bij het voldoen aan de meldplicht en moet hem meteen waarschuwen en informeren als hij een inbreuk op de persoonsgegevens vaststelt (art. 31 lid 2 jo. art. 26 lid 2 onderdeel f en lid 3). [39] Art. 31 lid 3 geeft de inhoud van de kennisgeving weer. De verantwoordelijke is verplicht alle inbreuken te documenteren. [40] De Europese Commissie kan op grond van art. 31 lid 6 een model voor de notif caties en de documentatie opstellen waarbij ook een vernietigingstermijn voor de daarin opgenomen informatie wordt opgenomen. Indien de inbreuk ‘ waarschijnlijk negatieve gevolgen‘ heeft voor de bescherming van de persoonsgegevens of de privacy van de betrokkene, dan dient de betrokkene zonder onnodige vertraging geïnformeerd te worden (art. 32 lid 1). Aan de betrokkene moet bepaalde informatie worden verschaft (art. 32 lid 2), wederom met de gedachte om de schade van persoonlijke en economische belangen te voorkomen of te beperken. [41] Op grond van art. 32 lid 6 kan hiervoor een formulier worden ontwikkeld. Het niet, niet-tijdig of niet-volledig melden wordt streng gesanctioneerd. Op grond van art. 79 lid 4 onderdeel h kan aan natuurlijke personen een boete van maximaal € 1 000 000 worden opgelegd. Bij een onderneming kan de boete maximaal 2% van de wereldwijde jaaromzet bedragen. Het Cbp heeft aangegeven dat de voorgestelde boete in de Wbp hiermee in overeenstemming zou moeten worden gebracht. [42] De concept-verordening zal nu door het Europees Parlement worden behandeld en daarna worden goedgekeurd door de Raad van Ministers van de lidstaten. Daarna zal het nog twee jaar duren voordat de verordening in werking treedt. [43] De verwachting is dat de Nederlandse meldplicht eerder kan worden ingevoerd. Schematisch gezien kunnen de huidige en voorgestelde meldplichten voor datalekken als volgt worden weergegeven:
Tot slot Bedrijven moeten zich gaan voorbereiden op de verschillende meldplichten. De beveiliging van de diverse (persoons)gegevensstromen moet kritisch onder de loep worden genomen. Er kan een interne leidraad worden opgesteld, waarin stap voor stap wordt aangegeven hoe er met een datalek of een veiligheidsinbreuk moet worden omgegaan en welke personen als aanspreekpunt gelden. Immers, op het moment dat een dergelijke inbreuk zich voordoet, dienen de toezichthoudende autoriteiten – en vaak ook de betrokkenen – onverwijld (of toch zeker binnen 24 uur) op de hoogte te worden gesteld en dient bepaalde informatie voorhanden te zijn. Om de schade ontstaan uit een lek zoveel mogelijk te voorkomen en de voorgenomen sancties te ontlopen, is een adequate bedrijfsvoering op dit punt van groot belang. [44] Onderzocht moet worden of bepaalde gegevensstromen wellicht versleuteld kunnen worden, om daarmee mogelijk de meldplicht aan de betrokkenen (en verdere reputatieschade) te vermijden. Daarnaast zullen bedrijven moeten inventariseren of zij systemen hebben die mogelijk als ‘ vitale systemen‘ kunnen worden aangemerkt, al is dit lastig nu een def nitie en de precieze uitwerking van de ‘ security breach notification’ nog niet voorhanden is. Tot slot is het belangrijk dat werknemers bewust worden gemaakt van het belang van de naleving van de privacywetgeving. Dit bewustzijn kan worden gecreëerd door middel van compliance-trainingen. Het tijdperk dat werknemers systemen beveiligen met standaardwachtwoorden zoals ‘123456’, dient echt tot het verleden te behoren. Voetnoten [1] [2] [3] [4] [5]
[6]
[7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18]
Mr. Friederike C. van der Jagt is advocaat te Amsterdam. Dit artikel is afgesloten op 13 mei 2012. http://webwereld.nl/nieuws/108052/ lektober--iedere-dag-een-privacylek-opwebwereld.html. Interessant is ook de website www.datalossbarometer.com (KPMG) en het door Bits of Freedom opgestelde Zwartboek Datalekken te vinden op: www. bof.nl/category/zwartboek-datalekken/. Zie De Verzuimpolitie II, via http://zembla.vara.nl (20 april 2012). Kamerstukken I 2010/11, 32 549, A. Het wetsvoorstel is op 8 mei 2012 in de Eerste Kamer aangenomen. Bij het ter perse gaan van dit nummer werd bekend dat de nieuwe Telecommunicatienet op 5 juni 2012 in werking is getreden. Richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009 tot wijziging van Richtlijn 2002/22/ EG inzake de universele dienst en gebruikersrechten met betrekking tot elektronische communicatienetwerken en -diensten, Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (e-Privacyrichtlijn) en Verordening (EG) nr. 2006/2004 betreffende samenwerking tussen de nationale instanties die verantwoordelijk zijn voor handhaving van de wetgeving inzake consumentenbescherming, PbEG L337/11. Richtlijn 2009/140/EG van het Europees Parlement en de Raad van 25 november 2009 tot wijziging van Richtlijn 2002/21/ EG inzake een gemeenschappelijk regelgevingskader voor elektronische communicatienetwerken en -diensten (Kaderrichtlijn), Richtlijn 2002/19/EG inzake de toegang tot en interconnectie van elektronische communicatienetwerken en bijbehorende faciliteiten, en Richtlijn 2002/20/EG betreffende de machtiging voor elektronische communicatienetwerken en -diensten, PbEG L337/37. De implementatiedatum van de Richtlijnen (25 mei 2011) is ruim overschreden. Er is gekozen voor een ‘smalle’ meldplicht door af te zien van toepassing van de meldplicht op alle dienstenaanbieders van de informatiemaatschappij. Dit betekent dat bijvoorbeeld webwinkels en besloten bedrijfsnetwerken buiten deze meldplicht vallen. Overweging 61 Richtlijn Burgerrechten. Kamerstukken II 2010/11, 32 549, nr. 3, p. 42. ENISA, ‘ Data Breach Notifications in the EU’, januari 2011, www.enisa.europa. eu. Supra noot 10, p. 74. Ibid, p. 75. In art. 11a.1 Tw wordt een zorgplicht opgenomen inhoudende dat passende technische en organisatorische maatregelen moeten worden genomen om de risico’s voor de veiligheid en integriteit van netwerken en diensten te beheersen. De webformulieren (en overige informatie over het meldpunt) zijn beschikbaar via: www.meldplichttelecomwet.nl. Supra noot 10, p. 23. 0900-70 70 701. Zie ook de informatiefolder van het Agentschap Telecom, Regels voor de continuïteit van telecomdiensten. Zorg- en meldplicht voor openbare aanbieders , maart 2012. Door ENISA wordt gewerkt aan een standaardformulier voor datalekken. Zie voor een kritische bespreking van de meldplicht: F.J. Zuiderveen Borgesius, ‘De Meldplicht voor datalekken in de Telecommunicatiewet’, Computerrecht 2011/4, p. 209-218.
[19] [20]
[21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44]
Supra noot 10, p. 42. De meldplicht geldt niet indien een verantwoordelijke al een melding heeft gedaan ex art. 11.3a van de Tw (zie art. 34a lid 9 Wbp) of indien hij ex art. 3:10 lid 3 of 4:11lid 4 Wet op het financieel toezicht reeds aan een meldingsplicht is gebonden. Beveiligingslekken met persoonsgegevens waarop de Wet politiegegevens of de Wet justitiële en strafvorderlijke gegevens van toepassing is, vallen ook buiten de reikwijdte van de meldplicht, gelet op art. 2 lid 2 onderdeel c en e Wbp. Het voorontwerp en de memorie van toelichting zijn te vinden op: http://www. internetconsultatie.nl/camerabeelden. Memorie van toelichting voorontwerp, p. 1. Art. 1 onderdeel d Wbp. Supra noot 22, p. 8. Brief ICT~Office d.d. 29 februari 2012, p. 2, zie: http://www.ictoffice.nl/Files/TER/ Reactie_ICT~Office_op_consultatie_meldplicht_ voor_datalekken.pdf. Zie daarentegen ook Bits of Freedom: https://www.bof. nl/2012/03/13/meldplicht-datalekken-nietmorgen- maar-nu/. Supra noot 22, p. 9. Ibid, p. 12. Ibid, p. 10 en 14. Ibid, p. 10. Supra noot 25. Supra noot 22, p. 15; Kamerstukken II 2011/12, 32 761, nr. 4, p. 7 en Kamerstukken II 2011/12, Aanhangsel, 2000. Kamerstukken II 2011/12, 26 643, nr. 202 (motie-Hennis-Plasschaert). Brief Minister Opstelten aan de Tweede Kamer d.d. 23 december 2011, p. 8 en Brief Minister Opstelten en Minister Verhagen aan de Tweede Kamer d.d. 14 februari 2012, p. 3. Voorstel voor een Verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), 25 januari 2012, COM (2012) 11 final. Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, PbEG L 281/31. Brief CBP d.d. 15 maart 2012, z2011- 00970. Supra noot 36, Bijlage, p. 4. Supra noot 36, p. 3 Vergelijk voorontwerp art. 14 lid 2 onderdeel c Wbp. Bits of Freedom is van mening dat de datalekken niet alleen moeten worden gedocumenteerd maar ook moeten worden opgenomen in een openbaar register (zie https://www.bof.nl/2012/01/25/verbeterpunten- van-de-nieuwe-privacyverordening/). Zie overweging 67 tot en met 69 bij de concept-verordening. Supra noot 36, p. 4. Art. 91 concept-verordening. Voor een praktische uitwerking zie: R. Marbus, ‘De Meldplicht datalekken: wat is het en wat betekent het voor mijn organisatie?’, Privacy & Compliance, nr. 2011/3, p. 13 en 14.
copyright Kluwer last update: 2013-02-21