Den Haag, waar blijft de meldplicht?
door Ronald Huissen
Er gaan hoe langer hoe meer handen op voor wetgeving die bedrijven en overheid verplicht het lekken van persoonsgegevens uit hun databestanden openbaar te maken. Er is voldoende steun in de Tweede Kamer, nu de wetgeving nog.
De regels over het melden van datalekken die Brussel in november 2009 afkondigde, gaan velen niet ver genoeg. De Europese meldplicht geldt enkel voor telecombedrijven en internetaanbieders. Daarmee wordt voorbijgegaan aan de sectoren waar het gros van de privacygevoelige gegevens zich bevindt zoals banken, zorgverzekeraars en webwinkels. EU-privacytoezichthouder Hustinx had flinke kritiek op de meldplicht en D66 Europarlementariër In 't Veld bestempelde het als een "cosmetische regel".
De Brusselse meldplicht mag dan een wassen neus zijn, Kamerlid Arda Gerkens (SP) rekent erop dat de meldplicht die Nederland invoert meer om het lijf krijgt. "Brussel levert de basis voor de meldplicht, maar we mogen deze zelf nog verbreden. Zowel minister Hirsch Ballin als staatssecretaris Bijleveld hebben zich inmiddels uitgesproken vóór een brede meldplicht bij zowel de overheid als het bedrijfsleven."
Sinds de val van het kabinet hangt deze beslissing weliswaar niet meer af van deze bewindslieden, maar Gerkens vertelt erbij dat tijdens het laatste debat waarin de meldplicht ter sprake kwam (de evaluatie van de Wet Bescherming Persoonsgegevens op 3 februari jl.) er een Kamermeerderheid vóór een brede meldplicht was.
Gerkens: "Het is nu een kwestie van wachten op de implementatie van de EU-regelgeving. Dit duurt nu eenmaal lang. Als we nu zouden beginnen met onze eigen meldplicht, zouden we die wellicht naderhand nog moeten omgooien om deze te laten stroken met de Brusselse regelgeving."
In de VS voerden vanaf 2003 44 staten een meldplicht in. Sinds de eerste cijfers over datalekken in de VS werden gepubliceerd, is in de Tweede Kamer herhaaldelijk gevraagd om een meldplicht in Nederland. Tot op heden bleef het echter een verhaal van bagatellisering, proefballonnetjes en uitstel.
Het eerste initiatief, een motie van de SP en de PvdA in september 2005, sneuvelde omdat minister Donner destijds vond dat de bescherming van persoonsgegevens adequaat werd gedekt en zich verder zou ontwikkelen door zelfregulering van de markt. Wel kwam er op verzoek van de indieners een onderzoek naar het effect van een meldplicht in landen waar deze al gold.
Het zou echter niet minder dan drie jaar duren voor hieraan werd begonnen. Het onderzoeksrapport verscheen uiteindelijk in april 2009 en bepleitte wel degelijk een meldplicht voor zowel de overheid als het bedrijfsleven. Het kabinet liet hierop weten te wachten met het invoeren van een meldplicht tot de Brusselse regelgeving was afgerond.
"Druk op politici opgevoerd"
Er hebben zich sinds het eerste initiatief voor een meldplicht meerdere incidenten met datalekken voorgedaan die de lauwe opstelling uit 2005 hebben doen veranderen. De digitale burgerrechtenorganisatie Bits of Freedom verzamelde een reeks Nederlandse incidenten in haar zwartboek datalekken.
Ot van Daalen, directeur van Bits of Freedom, constateert een stijging van datalekken alsmede meer aandacht en betere documentatie. "Zo wordt de druk op politici om hier werk van te maken opgevoerd. Vorige maand zijn er weer vier nieuwe lekken toegevoegd op onze site."
In ons land is het vooralsnog wachten op het eerste grote 'dataschandaal'. Over de grens was het al meerdere keren prijs. In Groot-Brittannië raakte de belastingdienst persoonsgegevens van 25 miljoen ouders die kinderbijslag krijgen kwijt bij de post. In Duitsland werden 17 miljoen klantgegevens van T-Mobile ontvreemd.
Van Daalen: "In Duitsland vormde dit de politieke aanleiding om een brede meldplicht in te voeren. In Nederland is het ook tijd dat we hier onze eigen regels over opstellen."
Eind januari startte Bits of Freedom een campagne tegen datalekken met een wetsvoorstel dat databankbeheerders verplicht om datalekken direct te melden. Ook de Consumentenbond, die aanvankelijk lauwtjes reageerde op het wetsvoorstel in 2005, startte in februari 2009 een campagne bescherming privégegevens. Naar aanleiding van het overheidsrapport pleitte de bond in april 2009 eveneens voor een brede meldplicht.
De argumenten van de pleitbezorgers: een meldplicht zorgt voor een beter inzicht in de oorsprong en ontwikkeling van datalekken en dwingt bedrijven en overheidsorganen meer aandacht aan beveiliging van persoonsgegevens te besteden.
Ook biedt het individuen wier privégegevens zijn ontvreemd de mogelijkheid op tijd maatregelen te nemen. In de huidige situatie komen personen vaak pas achter de diefstal van hun gegevens wanneer blijkt dat ermee is gefraudeerd.
Gerkens: "Identiteitsfraude neemt sterk toe. Het is een lucratieve business en wordt een van de grootste problemen van de komende decennia. Het moge inmiddels duidelijk zijn dat bedrijven niet van plan zijn te concurreren op privacybescherming. Het is echter belangrijk dat we ook wat handel op internet betreft het vertrouwen waarborgen, dit vormt de basis voor een goede economie."
Wel pleit ze ervoor dat klanten wier gegevens zijn gelekt, direct geïnformeerd worden. "Dus niet enkel via het CBP [College Bescherming Persoonsgegevens] publiceren, maar direct contact opnemen met de personen in kwestie. Op die manier kun je als consument zelf maatregelen nemen zoals het blokkeren van je creditcard of je het scherper in de gaten houden van je afboekingen."
Reacties