Kabinet wil reikwijdte meldplicht datalekken inperken
Het kabinet is van plan om de reikwijdte van de voorgestelde meldplicht datalekken in te perken, zodat organisaties, overheden en bedrijven alleen melding hoeven te maken als een lek "ernstige nadelige gevolgen" heeft voor de bescherming van persoonsgegevens.
Dat blijkt uit een wijzigingsnota die staatssecretaris Teeven van Veiligheid en Justitie naar de Tweede Kamer heeft gestuurd. Oorspronkelijk was het plan dat de meldplicht zou gelden voor alle datalekken waarvan redelijkerwijs kon worden aangenomen dat ze nadelige gevolgen voor de persoonsgegevens zouden kunnen hebben.
Teeven wil nu dat de meldplicht alleen gaat gelden voor datalekken met ernstige nadelige gevolgen. Dit zou volgens de staatssecretaris de meldplicht moeten verduidelijken en vereenvoudigen en daarmee voor de praktijk beter hanteerbaar maken.
Kritiek
Het College bescherming persoonsgegevens (CBP) is niet over de aanpassing te spreken. "De melding krijgt daarmee het karakter van de put die wordt gedempt wanneer het kalf reeds verdronken is; na de zelf-incriminatie van de verantwoordelijke rest de toezichthouder slechts de mogelijkheid tot repressief optreden." Het CBP stelt dat de preventieve rol die voor de toezichthouder in het oorspronkelijk ingediende wetsvoorstel nog was weggelegd in de wijzigingsnota geheel is verdwenen.
In een brief aan Teeven laat het CBP weten dat het geen aanleiding voor de ingrijpende aanpassing ziet. Daarnaast zouden de voorgestelde wijzigingen niet in lijn zijn met de meldplicht zoals die is vormgegeven in de voorstellen van de Europese Commissie.
Europa
Ook de Europese Commissie werkt aan een voorstel voor een meldplicht datalekken. Daarin staat dat in het geval van een datalek bij bedrijven er een boete van 100.000.000 euro kan worden opgelegd, of 5% van de wereldwijde omzet, afhankelijk van welke hoger is. Veel meer dan de 450.000 euro die het CBP als bestuurlijke boete kan opleggen. Verder maakt het EU-wetsvoorstel geen onderscheid dat een datalek eerst nadelige gevolgen moet hebben voordat getroffen gebruikers worden ingelicht.
De voorstellen van zowel Teeven als de Europese Commissie zijn nog in behandeling. De staatssecretaris heeft het wetsvoorstel ingediend bij de Tweede Kamer, die het hierna nog moet behandelen en aannemen, waarna het voorstel door kan naar de Eerste Kamer. Het EU-voorstel wordt naar verwachting dit jaar aangenomen, waarbij het vanaf 2016 zal worden gehandhaafd.
Dat is het nadeel van ambtenaren, als je geen grenzen vaststelt dan zijn ze er niet...
Nadeel van ambtenaren is dat als er wel grenzen zijn ze die zelf kunnen overschrijden met een vergunning.
Laatst zag ik dat een nieuwbouwwijk naast een inmiddels verhoogde spoorlijn gebouwd werd.
Kon me niet voorstellen dat dit zonder 'aanpassing' van de regels kon ivm geluids en trillingsoverlast.
En ja hoor, wat bleek, de gemeente Utrecht heeft zichzelf een vergunning gegeven om de grens met een factor 3 te overschrijden zodat ze toch konden bouwen..
Zo zal het hier ook wel gaan.
Wat deze aanpassing bereikt is dat je problemen heel makkelijk voor je kan houden, en pas naar buiten moet treden als het al te ver uit de hand is gelopen, wat, zoals CBP aangeeft, dan neerkomt op zelf-incriminatie waar CBP alleen nog maar hard tegen op kan treden.
Dit past wel in een patroon dat ik met enige regelmaat uit de koker van de VVD zie komen: geef iedereen alle ruimte om er een puinhoop van te maken, betuttel vooral niet maar laat ze hun gang gaan, laat ze hun eigen verantwoordelijkheid nemen, maar sla nogal abrupt om naar hard en repressief optreden als iemand het waagt de grenzen van die vrijheid te overschrijden.
Ik denk dat dat aan/uit-denken ongeveer de uitwerking zal hebben van die ouderwetse, niet-anticiperende CV-thermostaten: de temperatuur fluctueert veel sterker dan de ingestelde grenzen aangeven. De anticiperende thermostaat, die af begint te remmen voor de grenzen bereikt worden, heeft een veel stabieler resultaat.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
