Staatssecretaris Fred Teeven heeft het wetsvoorstel Meldplicht Datalekken afgezwakt. Het aangepaste wetsvoorstel bepaalt nu dat alleen datalekken met ernstige nadelige gevolgen moeten worden gemeld. Deze aanpassing maakt de wet er echter niet duidelijker op.
In het oorspronkelijke wetsvoorstel stond dat een datalek aan het College Bescherming Persoonsgegevens (“CBP”) moet worden gemeld indien redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen. Een partij die een datalek heeft geconstateerd, zal zelf moeten bepalen of redelijkerwijs kan worden aangenomen dat het lek leidt tot aanmerkelijke kansen op nadelige gevolgen. Dat is geen eenvoudige klus. Het is daarom mogelijk dat partijen uit voorzorg alle datalekken zullen melden.
Teeven wil dit onnodig melden voorkomen door in de wet op te nemen dat alleen een datalek dat ernstige nadelige gevolgen heeft, moet worden gemeld. Verder zijn de open begrippen redelijkerwijs en aanmerkelijke kans verwijderd. Het datalek zal op het moment van ontdekken ernstige nadelige gevolgen moeten hebben voordat moet worden gemeld.
Dat het oorspronkelijke wetsvoorstel een redelijk onbegrijpelijke norm stelt die lastig in te vullen is, mag duidelijk zijn. De kritiek hierop door de Raad van State begrijp ik dan ook wel. Richtsnoeren van het CBP op dit punt zullen wellicht enige houvast bieden aan de praktijk, maar de onzekerheid zal hiermee niet volledig weggenomen kunnen worden. Het aanpassen van het wetsvoorstel op dit punt is dan ook geen slecht idee. Het voorstel van Teeven om de drempel voor meldingen dan maar rigoureus op te hogen, biedt echter geen oplossing.
Allereerst wordt het doel van de meldplicht uitgehold. De meldplicht zou stimulerend moeten werken voor de op de verantwoordelijke om zorg te dragen voor een adequate beveiliging van persoonsgegevens. Nu alleen bij ernstige nadelige gevolgen gemeld moet worden, valt een deel van die stimulans weg. Voor de betrokkene wiens gegevens worden gelekt, is er minder rechtszekerheid. Over datalekken die ‘louter’ nadelige gevolgen voor hem hebben, hoort hij niets.
Bovendien klopt de systematiek van de wet niet meer na de aanpassing. Deze systematiek bestond uit een getrapte meldingsstructuur. Als er sprake was van een datalek met een aanmerkelijke kans op nadelige gevolgen, moest het CBP worden geïnformeerd. Als een datalek daarnaast bovendien waarschijnlijk ongunstige gevolgen voor de betrokkene had, moest ook aan de betrokkene worden gemeld. Dit is dus een hogere drempel dan de melding aan het CBP.
Met de introductie van ernstige nadelige gevolgen ontstaat hier een probleem. De maatstaf ernstige nadelige gevolgen vormt, zou ik menen, een hogere drempel dan waarschijnlijk ongunstige gevolgen. Dit betekent dat er datalekken zijn die wel aan de betrokkene moeten worden gemeld, maar niet aan het CBP. Dat is strijdig met de opbouw van de wet waarin het CBP een toezichthoudende functie vervult.
Teeven ziet dit overigens anders, zo blijkt uit de Nota naar Aanleiding van het Verslag. Hij houdt vast aan het getrapte systeem. Alleen van datalekken die bij het CBP zijn gemeld, moet worden beoordeeld of daarnaast ook de betrokkene moet worden geïnformeerd. Dit leidt er toe dat niet alle datalekken met waarschijnlijk ongunstige gevolgen bij de betrokkene zullen worden gemeld. Dit is een verdere uitholling van de meldingsplicht.
De aangepaste wetgeving ontneemt het CBP nog meer mogelijkheden om toezicht uit te oefenen. Zo bevat de wet een mogelijkheid voor het CBP om partijen op te dragen een datalek alsnog aan de betrokkene te melden. In het oude wetsvoorstel was deze bevoegdheid zinvol. Een partij kon menen dat een datalek weliswaar bij het CBP gemeld moest worden, maar niet zodanig ernstig was dat ook de betrokkene moest worden geïnformeerd. In het nieuwe wetsvoorstel is deze bevoegdheid overbodig geworden. Het CBP ziet alleen nog datalekken met ernstige nadelige gevolgen. Die hebben per definitie waarschijnlijk ongunstige gevolgen voor de betrokkene. Alle datalekken die bij het CBP gemeld worden, moeten ook bij de betrokkene worden gemeld. De overige datalekken met waarschijnlijk ongunstige gevolgen die geen ernstige nadelige gevolgen hebben, worden niet gemeld. Het CBP ziet deze niet en kan dus ook opdragen een dergelijk lek alsnog te melden.
Tot slot lijkt het nieuwe wetsvoorstel in strijd met de huidige versie van de Privacy Verordening. In deze Privacy Verordening is ook een meldplicht voor datalekken opgenomen. Een melding aan de toezichthouder is vereist in geval van een inbreuk in verband met persoonsgegevens. Uit niets blijkt dat alleen van een dergelijke inbreuk sprake is als deze ernstige nadelige gevolgen voor de persoonlijke levenssfeer heeft. Indien de Verordening op dit punt niet wordt gewijzigd, zal bij inwerkingtreding van de Verordening de wet opnieuw moeten worden gewijzigd.
Lees hier het wetsvoorstel en de bijbehorende documenten.