Wednesday, July 3, 2013

Wetsvoorstel datalekken kan nog wel wat fine-tuning gebruiken.

Op 21 juni stuurde het Kabinet het wetsvoorstel meldplicht datalekken naar de Tweede Kamer. Daarmee wordt in overeenstemming met het regeerakkoord van het Kabinet Rutte II in de Wet bescherming persoonsgegevens een algemene meldplicht geïntroduceerd voor beveiligingslekken met persoonsgegevens (artikel 34a Wbp). Tot nu toe bestond een dergelijke plicht alleen voor de telecomsector.

Eerlijk gezegd rammelt de redactie van het wetsvoorstel aan alle kanten, en dan met name dat van artikel 34a, eerste lid (de meldingsplicht aan het CBP). Niet alleen is daardoor de kans groot dat dit wetsvoorstel in de praktijk anders uitpakt dan voorzien, ook zullen organisaties - publiek en privaat - niet altijd goed weten hoe zij met de meldplicht om moeten gaan. Als grote datalekken vanwege de redactie van de wet dan niet gemeld (hoeven te) worden, leidt dat tot onbegrip en irritatie bij betrokkenen, de media, de politiek en de toezichthouder. En dat heeft op zijn beurt weer vervelende gevolgen voor de verantwoordelijke die zich geconfronteerd ziet met onterechte kritiek en onnodige boetes.

Een paar kanttekeningen op een rijtje.

Meldplicht

Met de meldplicht en dan met name de meldplicht bij het CBP is nog het nodige mis. Het hele eerste lid van artikel 34a is voor verbetering vatbaar. Het eerste lid luidt thans:

1. De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens die door hem worden verwerkt.

Lex certa beginsel
De Raad van State was in zijn advies over het wetsvoorstel met name kritisch over de onbepaaldheid van de meldplicht door het gebruik van vage termen zoals "redelijkerwijs", "aanmerkelijk" en "nadelig". Die kritiek richt zich vooral tot de formulering van de zogeheten 'bagatelregeling'. Terecht wil het Kabinet niet dat alle datalekken worden gemeld, maar alleen de serieuze datalekken. De gebruikte formulering leidt echter tot onzekerheid bij verantwoordelijken over de vraag wat nu precies is uitgezonderd. Met name omdat het CBP daarover een andere mening kan hebben, waardoor een verantwoordelijke zomaar tegen een boete van maximaal 450.000 euro kan oplopen wegens verschil van inzicht met het CBP. Dit is in strijd met het lex certa beginsel, het beginsel dat vereist dat vooraf duidelijk moet zijn wat precies strafbaar is. Volgens de Raad van State is het aan de wetgever om duidelijk te maken wat precies onder de strafbepaling valt, niet aan het CBP via het maken van beleidsregels.

In het kort komt het advies van de Raad van State erop neer dat de wetgever een duidelijke bagatelregeling zou moeten maken. Dat zou bijvoorbeeld kunnen via een Vrijstellingsbesluit Meldplicht Datalekken waarin kan worden aangegeven welke datalekken niet onder de meldplicht vallen. Zo'n Vrijstellingsbesluit ontbreekt echter evenals een delegatiebepaling terzake in artikel 34a. Terecht wijst de Raad van State erop dat de onbepaaldheid van de meldplicht er toe kan leiden dat de bagatelregeling zijn doel voorbijschiet: vanwege de onduidelijkheid worden waarschijnlijk meer datalekken gemeld dan nodig.

Hier wreekt zich overigens het feit dat het kabinet, anders dan bijvoorbeeld Duitsland en Amerika (waar het idee van een meldingsplicht voor datalekken vandaan komt), er voor kiest om in beginsel alle persoonsgegevens onder de meldplicht te brengen, niet alleen die paar categorieën persoonsgegevens die kunnen leiden tot identiteitsdiefstal, discriminatie of een andere hoge mate van gevoeligheid hebben, waarvoor een meldplicht uit oogpunt van administratieve lasten ook gerechtvaardigd zou zijn. Zo'n 'positieve lijst' geeft meer rechtszekerheid en is in de praktijk makkelijker te hanteren dan een bagatelregeling.

Definitie datalek
Het wetsvoorstel geeft helaas geen definitie van een datalek, maar geeft in artikel 34a, eerste lid, slechts een omschrijving van een datalek: een inbreuk op de beveiliging als bedoeld in artikel 13 Wbp. In die omschrijving zitten een aantal belangrijke knelpunten die er mede toe leiden dat een 'datalek' in de zin van artikel 34a aanzienlijk verschilt van wat men in het dagelijkse spraakgebruik verstaat onder een datalek.

Inbreuk
Ten eerste kan het zo zijn dat een verantwoordelijke in het geheel geen beveiligingsmaatregelen heeft genomen. In dat geval is er dus strikt genomen geen sprake van een 'inbreuk op de beveiliging', waardoor er dus ook geen verplichting om te melden ontstaat. Raar maar waar erkent de staatssecretaris dit probleem, maar doet hij dit af als "theoretisch", omdat een verantwoordelijke dit redelijkerwijs niet als een verweer zou kunnen aanvoeren als hij een boete krijgt wegens niet melden van het datalek. Ik waag dit te betwijfelen. Immers, een boete kan alleen worden opgelegd als er ten onrechte niet is gemeld. Daarvoor moet er dus eerst sprake zijn van een plicht tot melden. En die ontbreekt hier nu juist vanwege het gebruik van het woord "inbreuk". Een dergelijk verweer is dus misschien wel onredelijk, maar juridisch gezien volkomen juist en zal bij een rechter dus zeer zeker kunnen slagen als verweer tegen een boete voor niet melden. Beter is dus om het woord "inbreuk" in de omschrijving van een datalek te vermijden.

Passend
Het tweede probleem wordt gevormd door het aanhaken bij artikel 13 Wbp in de omschrijving van een datalek. Artikel 13 bepaalt immers dat beveiligingsmaatregelen "passend" moeten zijn. Daarmee wordt zowel een als een onder- als een bovengrens van beveiliging van persoonsgegevens aangegeven. Een verantwoordelijk moet minimaal de maatregelen nemen die voldoende zijn om de persoonsgegevens te beschermen (ondergrens), maar hoeft geen maatregelen nemen die boven de stand van de techniek uitgaan of die onevenredig duur zijn (bovengrens). Door de meldplicht datalekken aan te laten haken bij artikel 13 ontstaan twee afbakeningsproblemen:

1) Ondergrens
Wat als de maatregelen niet passend waren qua ondergrens, dus als er niet voldoende maatregelen waren genomen? Is er dan sprake van een inbreuk op "beveiliging als bedoeld in artikel 13"? Met andere woorden: kan een verantwoordelijke als verweer tegen een boete wegens niet melden van een datalek aanvoeren dat hij geen meldingsplicht had omdat de beveiliging niet "passend" was? De redactie van artikel 34a laat dat verweer mijns insziens wel toe. Artikel 13 omschrijft 'beveiliging' immers als "passende technische en organisatorische maatregelen...". Dus met het woord 'passend'. Als de beveiliging niet passend is, is er geen sprake van een inbreuk op de "beveiliging als bedoeld in artikel 13" en dus bestaat er ook geen plicht tot het melden van het datalek.

2) Bovengrens
Nog problematischer in het licht van de meldingsplicht is de ingebouwde bovengrens in artikel 13 Wbp. Zoals gezegd hoeft een verantwoordelijke geen beveiligingsmaatregelen te nemen die boven de stand van de techniek uitgaan of die onevenredig duur zijn. Dat betekent dat artikel 13 dus niet vereist dat persoonsgegevens 100% veilig worden verwerkt; ze hoeven alleen maar passend te zijn (zie ook de CBP Richtsnoeren Beveiliging). Met andere woorden, er bestaat een door de wet ingebouwde (theoretische) kans op een datalek dat de verantwoordelijke niet hoeft af te dekken. En als zo'n mogelijkheid wordt uitgebuit door bijvoorbeeld een hacker, dan is er wederom geen inbreuk op de "beveiliging als bedoeld in artikel 13" en dus ontbreekt ook hier de plicht tot melden. Maar als zo'n datalek publiek wordt (bijvoorbeeld via de media) zal het CBP al gauw staan te zwaaien met een boete wegens niet melden. En dan sta je als verantwoordelijke gelijk met 1-0 achter, hoewel je niets verkeerd hebt gedaan.

Nadelige gevolgen voor de bescherming van persoonsgegevens'
De meldplicht bij het CBP bestaat als er "een aanmerkelijke kans is op nadelige gevolgen voor de bescherming van persoonsgegevens". Volgens de Memorie van Toelichting dient de meldplicht bij het CBP ter ondersteuning van het toezicht door het CBP. Echter, het is volstrekt onduidelijk wat precies bedoeld wordt met "nadelige gevolgen voor de bescherming van persoonsgegevens".

Dit criterium uitleggen als "nadelige gevolgen voor compliance met de Wbp" is denk ik onjuist, omdat het hier moet gaan om de effectiviteit van de bescherming in de praktijk, niet om de juridische kwalificatie van die bescherming. Het ligt dus voor de hand om te kijken naar de praktische gevolgen voor de realisatie van de beginselen van dataprotectie, zoals doelbinding, transparantie en rechten van betrokkenen.

Kennelijk wordt er evenmin mee bedoeld: de gevolgen voor de beveiliging van persoonsgegevens. Immers, het datalek heeft al plaatsgevonden en dus is de inbreuk op beveiligingsmaatregelen (dan wel de afwezigheid ervan) geen 'gevolg', maar een oorzaak. Zelfs als de beveiliging wel onder het criterium zou vallen, zouden nadelige gevolgen bijna per definitie onwaarschijnlijk zijn. Het ligt immers voor de hand dat de verantwoordelijke de beveiliging als gevolg van het datalek zal aanscherpen. Omdat er meestal dus geen nadelige gevolgen voor de beveiliging te verwachten zijn, zal de meldplicht in de meeste gevallen dus ook niet zal bestaanHet gevolg is dat het CBP als gevolg van het in artikel 34a lid 1 gehanteerde criterium juist niet in staat wordt gesteld toezicht uit te oefenen op de passendheid van de genomen beveiligingsmaatregelen.

Als we de gevolgen voor de beveiliging dus buiten beschouwing laten, moeten we dan kijken naar de bescherming van de persoonsgegevens bij de verantwoordelijke waar het datalek heeft plaatsgevonden of moeten we kijken naar de bescherming van de persoonsgegevens bij de partij die de inbreuk pleegde? Als het gaat om de bescherming van de gegevens bij de verantwoordelijke waar het datalek heeft plaatsgevonden, dan zal een datalek zelden of nooit nadelige gevolgen hebben voor de realisatie van andere beginselen van gegevensbescherming, tenzij het gaat om verlies van gegevens of een mogelijk wijziging van de persoonsgegevens als gevolg van ongeautoriseerde toegang. In dat geval is er mogelijk een nadelig gevolg voor de datakwaliteit.

In alle andere gevallen van ongeautoriseerde toegang heeft de verantwoordelijke veelal nog steeds controle over de verwerking en dus over de realisatie van de beginselen van gegevensbescherming. Het hangt er dus maar helemaal van af op welke wijze de ongeautoriseerde toegang plaatsvindt. Worden de gegevens verstrekt aan een onbevoegde derde of worden de gegevens na een hack ingezien, dan hoeft het niet altijd zo te zijn dat deze derde de gegevens ook kan wijzigen. Als hij dat inderdaad niet kan, dan is er dus geen sprake van een aanmerkelijke kans op nadelige gevolgen voor de bescherming van de persoonsgegevens. In dat geval zou er dus ook nooit sprake zijn van een meldingsplicht bij het CBP.

Kijken we echter naar de bescherming van persoonsgegevens bij degene die de inbreuk pleegde, dan zal het juist zeer waarschijnlijk zijn dat de bescherming van persoonsgegevens bij die partij onvoldoende is geborgd. Dat zou betekenen dat er altijd sprake zou zijn van een meldingplicht bij het CBP ongeacht de aard van de persoonsgegevens.

Kortom, het genoemde criterium voor de meldingsplicht bij het CBP klopt niet. Het zal ofwel (bijna) nooit leiden tot een melding of juist altijd. En dat verhoudt zich weer niet tot het uitgangspunt om een bagatelregeling op nemen. Beter zou zijn om niet het criterium "nadelige gevolgen voor de bescherming van persoonsgegevens" te gebruiken, maar "nadelige gevolgen voor de fundamentele rechten van de betrokkene, meer in het bijzonder zijn persoonlijke levenssfeer". Men moet dan denken aan belangen als: privacy, non-discriminatie, reputatie, autonomie, rechtvaardige behandeling en gelijkheid. Met andere woorden, bij een datalek is niet de bescherming van de persoonsgegevens zelf in het geding, maar de belangen van de betrokkene die met die bescherming worden gediend.

Verschillende criteria
Het criterium voor de meldplicht bij het CBP verschilt sterk van die bij de betrokkene. Zoals gezegd bestaat de meldplicht bij het CBP indien er "een aanmerkelijke kans is op nadelige gevolgen voor de bescherming van de persoonsgegevens". Daarentegen dient de betrokkene te worden geïnformeerd als "de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer."
Het verschil in de criteria is problematisch, met name voor de praktijk omdat er sprake is van twee verschillende bagatelregelingen. Ten eerste is er wellicht een verschil tussen "nadelige" en "ongunstige". Er is op zich geen reden voor dit verschil in terminologie. Ook kan het verschil in criteria leiden tot een situatie dat de betrokkene wel moet worden geïnformeerd, maar het CBP niet, en dat is onwenselijk. Het CBP zal zich in dat geval immers op het standpunt stellen dat het ook had moeten worden geïnformeerd en dan kan het een boete opleggen wegens het niet naleven van de meldingsplicht van het eerste lid.

Beter zou dus zijn om de criteria voor beide meldingsplichten gelijk te trekken, zodat een meldingsplicht bij het CBP ook leidt tot een meldingsplicht bij de betrokkene en omgekeerd. In dat geval zou overigens het zevende lid, dat bepaalt dat het CBP van de verantwoordelijke kan verlangen de betrokkenen alsnog te informeren, overbodig worden, omdat de inhoud van de bepaling dan volgtijdelijk onmogelijk is. En voor de duidelijkheid: het criterium voor het informeren van de betrokkene is wat mij betreft (bijna) goed. Het moet alleen niet beperkt worden tot "persoonlijke levenssfeer", maar alle fundamentele rechten van de betrokkene omvatten.

Onverwijld
Het CBP en de betrokkene moeten "onverwijld" worden geïnformeerd. Op zich zal een redelijke vertragingen in de melding zijn geoorloofd, bijvoorbeeld voor het doen van onderzoek. Maar het begrip 'onverwijld' betekent dat er een beginpunt in de tijd is vanaf wanneer onverwijld moet worden gemeld. Het wetsvoorstel verzuimt aan te geven waar dat startpunt ligt. Logisch is dat het startpunt ligt bij het tijdstip waarop de verantwoordelijke wetenschap krijgt van het datalek, bijvoorbeeld omdat hij dat zelf constateert of omdat hem dat wordt verteld. In ieder geval kan niet als startpunt dienen het tijdstip waarop het datalek zich voordoet. Dat zou immers betekenen dat het monitoringsbeleid van de verantwoordelijke ter discussie zou kunnen komen te staan in het bepalen van de onverwijldheid van de melding. Dat zou een extreem grote impact hebben op de inspanningen die verantwoordelijken doen in het monitoren van hun beveiliging.

Daarnaast is niet iedereen binnen de verantwoordelijke bevoegd tot het doen van de melding. Dat zou je ook niet moeten willen. Het gaat er dus om dat degene die belast is met de leiding of het beheer van het proces waarin de data worden verwerkt wetenschap krijgt van het datalek. Dat betekent dat er ruimte moet zijn voor interne rapportage (bijv. het melden van het verlies van een laptop door de medewerker bij de baas, of het melden van een datalek door de bewerker bij de accountmanager van se afdeling Inkoop die het op zijn beurt weer moet melden bij het management van de organisatie). Interne rapportege betekent dus altijd dat er enige vertraging ontstaat in de afhandeling van het datalek. Dit dient tot uiting te komen in de Memorie van Toelichting op het wetsvoorstel.

In kennis stellen
De verantwoordelijke dient het CBP en de betrokkene "in kennis te stellen" van het datalek. Die terminologie impliceert dat het CBP c.q. de betrokkene moet weten dat het datalek heeft plaatsgevonden.

Los van het feit dat het CBP in het weekend gesloten is en dus geen weet heeft van het datalek tot maandagochtend op zijn vroegst, is het ook zo dat de verantwoordelijke geen invloed kan uitoefenen op de werkzaamheden van het CBP. De betrokkene kan op vakantie zijn of er voor kiezen om de indoematie niet te lezen. Volstaan zou dus dienen te worden met een term die uitdrukt dat de informatie het CBP c.q. de betrokkene heeft bereikt. Daarvoor leent zich het meer neutralere "melden" (zie ook artikel 27 Wbp).

Versleuteling
Het zesde lid van artikel 34a bevat een uitzondering op de meldingsplicht aan de betrokkenen als er sprake is ban versleuting of als de gegevens anderszins onbegrijpelijk zijn gemaakt voor onbevoegden. Op zich is een dergelijk uitzondering toe te juichen. Maar het is niet logisch dat, zoals het thans ook in de VS is geregeld, de uitzondering zich niet ook uitstrekt tot de melding bij het CBP. Immers, als de gegevens zijn versleuteld, is een meldingsplicht bij het CBP een onnodige administratieve last.
Voorts kan er discussie onstaan over de versleuteling. Door voortschrijding van de techniek kan een bepaalde type versleuteling niet meer veilig zijn. Ook kan er slordig worden omgesprongen met de sleutel, bijvoorbeeld omdat deze mee ia gelekt. Daarom moet de versleuteling "passend" zijn, d.w.z. dat de versleuteling nog steeds de stand van de techniek moet omvatten én dat er sprake moet zijn van adequaat sleutelbeheer.
Echter, op de keper beschouwd is het zesde lid geheel overbodig in het licht van de meldingscriteria in het eerste en tweede lid. Immers, als de gegevens versleuteld zijn of op een andere manier onbegrijpelijk zijn gemaakt voor onbevoegden zal er altijd sprake zijn van een situatie waarin het datalek waarschijnlijk geen nadelige resp. ongunstige gevolgen zal hebben voor de bescherming van de persoonsgegevens resp. de persoonlijke levenssfeer van de betrokkene. Je hebt daarmee in het eerste resp. het tweede lid al geen meldingsplicht. De vrijstelling in het zesde lid is dus sympathiek maar overbodig. Beter zou zijn om het zesde lid ofwel als een "in ieder geval-bepaling" op te nemen in artikel 34a dan wel om het in de Memorie van Toelichting op te nemen als toelichting op de bagatelregeling.

Tekstvoorstel
De oplossing van voornoemde problemen zou zijn om aan artikel 1 Wbp een neutrale definitie van een datalek toe te voegen en de verplichting artikel 34a, eerste lid, te beperken tot alleen de verplichting tot het melden van een datalek. De bagatelregeling zou via een AMvB kunnen worden ingevuld. Artikel 34 zou dan, evenals artikel 29 Wbp voor wat betreft de meldingsplicht voor de verwerkingen zelf, de criteria moeten bevatten waaronder vrijstelling mogelijk is (even daargelaten het eerdere pleidooi voor een positieve lijst die uiteraard op dezelfde manier als een vrijstellingsregeling tot stand kan komen).

Een wetstekst die recht doet aan de voornoemde kritiek zou er dan als volgt uit kunnen zien:

Artikel 1
p. datalek: het verlies van, onbevoegde toegang tot of onbevoegd doen verkrijgen van persoonsgegevens.
Artikel 34a
1. De verantwoordelijke meldt een datalek onverwijld nadat hij van het datalek wetenschap heeft gekregen bij het CBP en de betrokkene.
2. Het eerste lid is niet van toepassing op verlies van persoonsgegevens waarbij uitsluitend persoonsgegevens zijn betrokken die op een passende manier zijn versleuteld of op een andere passende wijze onbegrijpelijk zijn gemaakt voor eenieder die onbevoegd is tot toegang tot of verkrijging van die persoonsgegevens.
3. Bij algemene maatregel van bestuur kan worden bepaald dat daarbij aan te geven datalekken die geen of waarschijnlijk geen ongunstige gevolgen hebben voor de fundamentele rechten van de betrokkene, in het bijzonder het recht op bescherming van  diens persoonlijke levenssfeer, zijn vrijgesteld van de meldingen als bedoeld in het eerste lid.
.....

Andere problemen

Bewerker
Naast de invoeging van artikel 34a wordt ook artikel 14 Wbp gewijzigd. Aan het derde lid wordt een onderdeel toegevoegd dat zegt dat de verantwoordelijke er zorg voor draagt dat de bewerker "de verplichtingen nakomt die op de verantwoordelijke rusten ten aanzien van de verplichting tot melding van een inbreuk op de beveiliging, bedoeld in artikel 13, waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen voor de persoonsgegevens die door hem worden verwerkt".

Maar wat staat er nou eigenlijk in artikel 14 lid 3 sub c? Letterlijk genomen lijkt de nieuwe tekst te vereisen dat de bewerker de melding van een bij hem ontstaan datalek doet, niet de verantwoordelijke. Op zou daar niets mis mee zijn, omdat een datalek bij een bewerker de persoonsgegevens van meerdere verantwoordelijke kan betreffen. In plaats van dat iedere verantwoordelijke dan hetzelfde datalek meldt, wordt het datalek slechts 1x door de bewerker gemeld. Ook blijft de publiciteit rondom het datalek in principe beperkt tot de bewerker. Echter, uit de Memorie van Toelichting blijkt nergens dat het de bedoeling is dat de bewerker de melding doet. Bedoeld lijkt te worden dat de bewerker de nodige waarborgen biedt om er voor te zorgen dat de verantwoordelijke zijn meldingsplicht kan nakomen. Maar dat staat er niet. In dat geval zou de redactie voor artikel 14, derde lid, er namelijk als volgt uit zien: "de verantwoordelijke in staat stelt om zijn verplichting als bedoeld in artikel 34a na te komen". Op basis van deze tekst zouden verantwoordelijken en bewerkers dan nadere afspraken kunnen maken over hoe aan deze verplichting wordt voldaan.

Overigens zou nog beter zijn als de huidige contractspraktijk dat de bewerker verplicht is om datalekken te melden bij de verantwoordelijke tot wettelijke plicht zou worden verheven (zie ook artikel 31, tweede lid van het voorstel voor een Europese Verordening Bescherming Persoonsgegevens). Op die manier zou het de verantwoordelijke immers niet kunnen worden verweten dat hij een datalek niet gemeld heeft omdat de bewerker hem daarover niet heeft ingelicht. Aanpalend zou de boetebevoegdheid van het CBP in artikel 66 zich dan mede moeten uitstrekken tot die inlichtingenplicht.

Ten slotte zou het logisch zijn als ook de bewerker een overzicht zou bijhouden van de bij hem ontstane datalekken. Dit kan immers een impact hebben op de vraag of een verantwoordelijke met de betreffende bewerker in zee zou willen gaan.

En ach ja....., bij de splitsing van het wetsvoorstel is het woord 'gebruik' ten onrechte in de titel van het wetsvoorstel blijven staan.... Haastklus?