image

Kamerleden willen strengere meldplicht datalekken

vrijdag 6 februari 2015, 14:23 door Redactie, 1 reacties

Het wetsvoorstel van staatssecretaris Teeven (Justitie) voor een meldplicht datalekken en een grotere rol voor het College bescherming persoonsgegevens (CBP) krijgt op hoofdlijnen steun, maar verschillende Kamerleden vinden het voorstel niet ver genoeg gaan. Dat blijkt uit een debat dat gisteren plaatsvond.

Volgens PVV-Kamerlid Helder is het wetsvoorstel goed bedoeld maar niet effectief genoeg. Onder anderen Schouw (D66) en Segers (ChristenUnie) deden aanvullende voorstellen. SP-Kamerlid Van Nispen (SP) wil dat "waakhond CBP scherpere tanden krijgt". Dit zou er echter niet toe mogen leiden dat de administratieve lasten fors stijgen, waarschuwen Oskam (CDA) en Bisschop (SGP). Als organisaties opzettelijk privacygevoelige gegevens lekken, kan het CBP straks direct een bestuurlijke boete opleggen.

In andere gevallen moet er eerst een bindende aanwijzing worden gegeven. Schouw en Segers vinden die voorwaarde te beperkend en willen dat het CBP sneller kan besluiten tot een geldboete. Maar dan bestaat het gevaar dat te pas en te onpas boetes worden uitgedeeld, vreest Oskam. Van Wijngaarden (VVD) en Oosenbrug willen daarom als voorwaarde stellen dat er sprake moet zijn van "ernstig verwijtbare nalatigheid". Iets waar Teeven in meegaat.

Gevolgen

De staatssecretaris stelt voor dat organisaties datalekken moeten melden die ernstige nadelige gevolgen hebben voor de bescherming van de persoonlijke levenssfeer. Dat gaat Schouw, Van Wijngaarden en Oosenbrug niet ver genoeg. Ook als er een "aanzienlijke kans" is op die gevolgen moet er volgens hen al worden gemeld. Ook willen zij dat de meldplicht geldt voor het lekken van versleutelde gegevens.

"Versleutelde persoonsgegevens zijn in de regel juist extra gevoelig (bijvoorbeeld: email-, credit card-, bankgegevens) en kunnen ontsleuteld worden. Als ontsleuteling een reële dreiging vormt, kan het College gebruik maken van artikel 34a, zevende lid, en van de verantwoordelijke verlangen dat hij alsnog een kennisgeving doet aan de betrokkene", aldus de drie Kamerleden.

Boetes

Het CBP stelt beleidsregels op over de hoogte en de berekening van de boetes. Maar deze moeten wel goedgekeurd worden door de ministeries van Veiligheid en Justitie en van Binnenlandse Zaken. Dit tast de onafhankelijkheid van de toezichthouder aan, stellen Schouw, Segers en Van Nispen, en is bovendien in strijd met Europese regels. Teeven oppert om "goedkeuring" door "overleg" te vervangen. Helder en Bisschop vragen zich juist af of het CBP op een ander punt niet te veel vrijheid krijgt. De toezichthouder is straks verantwoordelijk voor normstelling en sanctieoplegging. De Kamer stemt op 10 februari over het wetsvoorstel en de ingediende moties.

Reacties (1)
06-02-2015, 16:40 door Erik van Straten - Bijgewerkt: 06-02-2015, 16:40
Goed te lezen dat de (virtuele en sarcastische) FAQ die het CBP had kunnen publiceren (zie https://www.security.nl/posting/409730/#posting409764) als het wetvoorstel van Teeven ongewijzigd zou zijn aangenomen, waarschijnlijk strenger gaat worden.

[Rant over wat Deloitte "actueel" vindt]

Twee dagen geleden was ik over dit onderwerp aan het Googlen en vond http://actueel.deloitte.nl/newsroom/thema/pers-security/staatssecretaris-teeven-t%C3%B3ch-voorstel-verruiming-bevoegdheden-college-bescherming-persoonsgegevens/. Teeven zou vorige week een aanpassing op het wetsvoorstel naar de kamer gestuurd hebben; interessant dacht ik! Uit dat artikel (de tekst "vorige week" is door mij benadrukt):

Staatssecretaris Teeven: tóch voorstel verruiming bevoegdheden College Bescherming Persoonsgegevens
Auteur: Dirk Rinsema                                                               04 februari 2015
Staatssecretaris Fred Teeven heeft VORIGE WEEK een aanpassing op het wetsvoorstel ‘Meldplicht Datalekken’ naar de Tweede Kamer gestuurd. [...]

Interessant werd het toen ik die pagina gisteren opende, toen was de datum veranderd in 05 februari 2015... Wat er vandaag staat mag je raden.

De pagina http://www2.deloitte.com/nl/nl/pages/risk/articles/teeven-toch-voorstel-verruiming-bevoegdheden-college-bescherming-persoonsgegevens.html blijkt nagenoeg hetzelfde artikel te bevatten, ineens van de hand van 2 auteurs, en -naar verluidt- op 6 juni 2014 te zijn geschreven. Maar of dat wel klopt weet ik ook niet...

[/Rant over wat Deloitte "actueel" vindt]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.