image

Kabinet wil reikwijdte meldplicht datalekken inperken

vrijdag 18 april 2014, 09:55 door Redactie, 5 reacties

Het kabinet is van plan om de reikwijdte van de voorgestelde meldplicht datalekken in te perken, zodat organisaties, overheden en bedrijven alleen melding hoeven te maken als een lek "ernstige nadelige gevolgen" heeft voor de bescherming van persoonsgegevens.

Dat blijkt uit een wijzigingsnota die staatssecretaris Teeven van Veiligheid en Justitie naar de Tweede Kamer heeft gestuurd. Oorspronkelijk was het plan dat de meldplicht zou gelden voor alle datalekken waarvan redelijkerwijs kon worden aangenomen dat ze nadelige gevolgen voor de persoonsgegevens zouden kunnen hebben.

Teeven wil nu dat de meldplicht alleen gaat gelden voor datalekken met ernstige nadelige gevolgen. Dit zou volgens de staatssecretaris de meldplicht moeten verduidelijken en vereenvoudigen en daarmee voor de praktijk beter hanteerbaar maken.

Kritiek

Het College bescherming persoonsgegevens (CBP) is niet over de aanpassing te spreken. "De melding krijgt daarmee het karakter van de put die wordt gedempt wanneer het kalf reeds verdronken is; na de zelf-incriminatie van de verantwoordelijke rest de toezichthouder slechts de mogelijkheid tot repressief optreden." Het CBP stelt dat de preventieve rol die voor de toezichthouder in het oorspronkelijk ingediende wetsvoorstel nog was weggelegd in de wijzigingsnota geheel is verdwenen.

In een brief aan Teeven laat het CBP weten dat het geen aanleiding voor de ingrijpende aanpassing ziet. Daarnaast zouden de voorgestelde wijzigingen niet in lijn zijn met de meldplicht zoals die is vormgegeven in de voorstellen van de Europese Commissie.

Europa

Ook de Europese Commissie werkt aan een voorstel voor een meldplicht datalekken. Daarin staat dat in het geval van een datalek bij bedrijven er een boete van 100.000.000 euro kan worden opgelegd, of 5% van de wereldwijde omzet, afhankelijk van welke hoger is. Veel meer dan de 450.000 euro die het CBP als bestuurlijke boete kan opleggen. Verder maakt het EU-wetsvoorstel geen onderscheid dat een datalek eerst nadelige gevolgen moet hebben voordat getroffen gebruikers worden ingelicht.

De voorstellen van zowel Teeven als de Europese Commissie zijn nog in behandeling. De staatssecretaris heeft het wetsvoorstel ingediend bij de Tweede Kamer, die het hierna nog moet behandelen en aannemen, waarna het voorstel door kan naar de Eerste Kamer. Het EU-voorstel wordt naar verwachting dit jaar aangenomen, waarbij het vanaf 2016 zal worden gehandhaafd.

Reacties (5)
18-04-2014, 10:02 door [Account Verwijderd] - Bijgewerkt: 18-04-2014, 10:09
[Verwijderd]
18-04-2014, 10:10 door Anoniem
Door Peter V.:
Het kabinet is van plan om de reikwijdte van de voorgestelde meldplicht datalekken in te perken, zodat organisaties, overheden en bedrijven alleen melding hoeven te maken als een lek "ernstige nadelige gevolgen" heeft voor de bescherming van persoonsgegevens.
En wat precies verstaat het Kabinet onder "ernstige nadelige gevolgen"? Ik ben nogal wantrouwend als het over de Overheid gaat, vandaar mijn vraag...
Antwoord: als het over hen gaat, dáár kun je op vertrouwen. De burger is helemaal niet belangrijk genoeg om 'ernstig nadelige gevolgen' te kunnen ervaren...
18-04-2014, 11:02 door Anoniem
Ja, krijg je straks weer zo'n dooddoener van "ik vind dat het geen ernstig lek is"...
Dat is het nadeel van ambtenaren, als je geen grenzen vaststelt dan zijn ze er niet...
Nadeel van ambtenaren is dat als er wel grenzen zijn ze die zelf kunnen overschrijden met een vergunning.
Laatst zag ik dat een nieuwbouwwijk naast een inmiddels verhoogde spoorlijn gebouwd werd.
Kon me niet voorstellen dat dit zonder 'aanpassing' van de regels kon ivm geluids en trillingsoverlast.
En ja hoor, wat bleek, de gemeente Utrecht heeft zichzelf een vergunning gegeven om de grens met een factor 3 te overschrijden zodat ze toch konden bouwen..
Zo zal het hier ook wel gaan.
18-04-2014, 11:22 door Anoniem
Als de oude versie van het wetsvoorstel van kracht was geweest had elke website die persoonsgegevens verwerkt die geraakt was door Heartbleed dat aan CBP moeten melden, terwijl onder het aangepaste voorstel dat niet had gehoeven. Bij Heartbleed weet je namelijk zeker dat het vreselijk mis kán zijn gegaan maar je hebt geen idee of het lek ook daadwerkelijk misbruikt is op je website.

Wat deze aanpassing bereikt is dat je problemen heel makkelijk voor je kan houden, en pas naar buiten moet treden als het al te ver uit de hand is gelopen, wat, zoals CBP aangeeft, dan neerkomt op zelf-incriminatie waar CBP alleen nog maar hard tegen op kan treden.

Dit past wel in een patroon dat ik met enige regelmaat uit de koker van de VVD zie komen: geef iedereen alle ruimte om er een puinhoop van te maken, betuttel vooral niet maar laat ze hun gang gaan, laat ze hun eigen verantwoordelijkheid nemen, maar sla nogal abrupt om naar hard en repressief optreden als iemand het waagt de grenzen van die vrijheid te overschrijden.

Ik denk dat dat aan/uit-denken ongeveer de uitwerking zal hebben van die ouderwetse, niet-anticiperende CV-thermostaten: de temperatuur fluctueert veel sterker dan de ingestelde grenzen aangeven. De anticiperende thermostaat, die af begint te remmen voor de grenzen bereikt worden, heeft een veel stabieler resultaat.
18-04-2014, 13:45 door sabofx
Meneer Teven stijgt de laatste tijd wel heel hard op de lijst met 'minst favoriete politici'. Je kunt je afvragen wiens belangen hij nu eigenlijk voor ogen heeft??
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.