CBP tegen wet meldplicht bij datalekken
Gepubliceerd: Dinsdag 15 juni 2010
Auteur: Ernst-Jan Hamel
Volgens privacytoezichthouder CBP mist het voorstel om de meldplicht te beperken tot telefoon- en internetaanbieders zijn doel. Bovendien is de opzet van de meldplicht onduidelijk en omslachtig.
Het College bescherming persoonsgegevens (CBP) pleit voor een meldplicht voor alle bedrijven en overheidsdiensten. Dat zou betekenen dat ook die organisaties moeten melden als er sprake is van inbreuk op persoonsgegevens door bijvoorbeeld hackers.
"Het doel van de meldplicht is om burgers te beschermen tegen gevaren zoals identiteitsfraude, financiële verliezen, gemiste kansen in zaken of beroepsontwikkeling. Dat doel wordt niet bereikt als de meldplicht alleen van toepassing is op de kleine groep verantwoordelijken die openbare telecommunicatiediensten levert," schrijft de toezichthouder.
Alle databankbeheerders
Al direct was er de kritiek dat de meldplicht veel te beperkt is. De wet zou voor alle databankbeheerders moeten gelden, werd gesteld.
Minister Hirsh Ballin heeft in maart aan de Tweede Kamer beloofd een brede meldplicht te onderzoeken. "Voor de private sector moeten wij nagaan of er aanvullende wetgeving nodig is of convenanten of een combinatie daarvan. Het is de bedoeling dat het ook voor de private sector geldt", zei Hirsch Ballin destijds.
Slechte organisatie
Ook ziet het CBP allerlei organisatorische missers bij de opzet van de meldplicht. Zo wil het ministerie van Economische Zaken dat er twee meldplichten worden geïntroduceerd, eentje voor privacyinbreuken en eentje voor inbreuken op de veiligheid en verliezen van netwerkintegriteit. De eerste melding moet bij de OPTA gedaan worden, de andere bij Economische Zaken.
Het CBP ziet complicaties bij deze opzet "in verband met het feit dat in de praktijk inbreuken op de veiligheid en verlies van integriteit nagenoeg altijd gepaard zullen gaan met het vrijkomen van persoonsgegevens". Dit leidt tot "verhoging van administratieve lasten en inconsistenties c.q. inefficiëntie in de uitvoering".
Niet onafhankelijk
Bovendien, vindt het college, moet de toezichthouder van de meldplicht "in volledige onafhankelijkheid" kunnen vervullen, en gebeurt dit niet met Economische Zaken als een van toezichthouders. Het toezicht op de inbreuken op de veiligheid en verliezen van integriteit moeten bij een onafhankelijke toezichthouder worden neergelegd, schrijft het CBP.
Telecombedrijven KPN, Vodafone, Tele2, Caiway, Online en BBNED schoten al eerder gaten in het voorstel voor een meldplicht datalekken. Er heersen veel bezwaren bij de bedrijven, onder meer de plicht gedupeerde particulieren te informeren, wat zou leiden tot "onaanvaardbaar hoge kosten".
Consultatieronde
Het ministerie van Economische Zaken hield de afgelopen maanden een consultatieronde over de vernieuwde Telecommunicatiewet, die naast een meldplicht datalekken ook scherpere regels voor cookies moet introduceren. Medio 2011 moet de nieuwe wet uiterlijk in werking treden.
