Dat concludeert Frederik Zuiderveen Borgesius, verbonden aan het Instituut voor Informatierecht (Ivir) en aan Solv Advocaten in een studie verricht naar het wetsvoorstel dat onlangs is gepubliceerd in het tijdschrift Computerrecht.

De meldplicht voor datalekken maakt onderdeel uit van het Wetsvoorstel voor de grote wijzigingen van de Telecommunicatiewet, waarin ook netneutraliteit en cookieregelingen worden opgenomen. De Eerste Kamer moet er nog over oordelen en zal naar verwachting de nodige veranderingen inbrengen op juridisch onduidelijke punten. Daar loopt de analyse van Zuiderveen Bogesius op vooruit, en hij trekt ook nog een vergelijking met de Amerikaanse meldplichten. Die bestaan al vanaf 2003, sinds de introductie van de California Security Breach Information Act. Het voornaamste doel van de Amerikaanse meldplichtwetten is het tegengaan van identiteitsdiefstal. Inmiddels zijn in de meeste Amerikaanse staten en 25 landen meldplichtwetten ingevoerd.

Eenzijdig en beperkt

De EU loopt achter. Dat komt vooral door trage procedures. In Nederland waren de minister van Justitie en de Consumentenbond in 2005 zelfs nog van mening dat een wettelijke meldplicht voor datalekken helemaal niet nodig was. Bits of Freedom dacht daar anders over en inmiddels staat privacy weer hoog op politieke agenda's. In 2006 begon de kwestie in Brussel te spelen, maar pas in 2009 kwam er een Richtlijn Burgerrechten, als toevoeging op de e-Privacyrichtlijn. Op dit moment voeren de lidstaten deze door in hun nationale wetten.

Op de eerste plaats, stelt Borgesius, richt de Nederlandse plicht zich eenzijdig op aanbieders van openbare elektronische communicatiediensten, en dat is in feite een beperking tot telecomaanbieders en internetproviders. Zij moeten 'inbreuken in verband met persoonsgegevens' melden aan toezichthouder Opta en de mensen inlichten van wie de gelekte gegevens zijn.

Dat is nogal beperkt en het is de vraag of invoering hiervan op deze manier zinnig is, meent Borgesius. Immers, in Nederland en in Europa zijn er al plannen en aanbevelingen op hoog niveau om de meldplicht ook van toepassing te verklaren op andere partijen die persoonsgegevens verwerken, zoals de vele financiële partijen die data verwerken, maar ook sociale netwerken en webwinkels, ziekenhuizen en OV-instellingen.

De Europese Commissie noemt een formele reden om de meldplicht niet direct uitgebreid te regelen: de werkingssfeer van de e-Privacyrichtlijn zou alleen de internetaanbieders en telecombedrijven betreffen. Maar dat is onzin, schrijft Zuiderveen Borgesius op een nette manier.

Brussel neemt de uitbreiding waarschijnlijk pas op in de herziening van de Richtlijn bescherming persoonsgegevens en dan ben je zo weer een aantal jaren verder. Nederland wacht daar niet op. Het komt met een aanscherping van de Wet bescherming persoonsgegevens met een brede meldplicht. Waarschijnlijk zal het College bescherming persoonsgegevens op de naleving gaan toezien. Dus de vraag is waarom het nu beperkt moet worden opgetuigd met de Opta.

Onduidelijkheden

Intussen is het niet duidelijk wat precies onder een 'inbreuk in verband met persoonsgegevens' verstaan moet worden. De definitie spreekt over persoonsgegevens die zijn verwerkt “in verband met de levering van een openbare elektronische communicatiedienst". Maar wordt dat ook zo uitgelegd? Nee, zo blijkt uit een vragenronde van de ENISA, de European Network and Information Security Agency, onder achttien bevoegde nationale instanties. De een vindt het kwijtraken van een laptop of een USB-stick met persoonsgegevens onderhevig aan de meldplicht, voor anderen gaat het ook om het verkeerd adresseren van een brief of e-mail met persoonsgegevens, of aan het grofvuil toevertrouwde apparatuur of gevulde dossierkasten, tot en met het gebruik van persoonsgegevens voor direct marketing zonder toestemming van de betrokkene. Het is nog niet duidelijk hoe Opta het begrip 'inbreuk in verband met persoonsgegevens' zal interpreteren.

Ten tweede: wanneer moet je een gebruiker iets melden? Je kunt alles melden, maar dan krijgt hij snel te veel. Je kunt het ook inperken en dan zullen aanbieders het erbij laten zitten. Als formulering staat er nu dat de aanbieder de betrokkene direct moet informeren als een datalek “waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer".

In de Richtlijn burgerrechten is voor 'waarschijnlijk ongunstige gevolgen' een hele riedel aan mogelijke schade genoemd: "wanneer er bijvoorbeeld identiteitsdiefstal of -fraude, lichamelijke schade, ernstige vernedering of aantasting van de reputatie, met betrekking tot de levering van openbare communicatiediensten [...] het gevolg ervan kan zijn."

Opta kan bij een melding door een bedrijf of instantie deze verplichten om alsnog personen in te lichten. Maar wanneer de Opta melding verlangt is ook nog niet duidelijk. Zuiderveen Borgesius: "De e-Privacyrichtlijn noch het wetsvoorstel zijn erg helder over de vraag of Opta kan beslissen dat triviale datalekken niet aan Opta gemeld hoeven te worden. Wil Opta altijd ingelicht worden als er één brief met persoonsgegevens aan een verkeerd adres wordt gestuurd?"

Ten derde is er een uitzondering van de meldplicht als, naar het oordeel van Opta, de gelekte persoonsgegevens versleuteld 'of anderszins onbegrijpelijk zijn' voor degenen die ermee vandoor gaat. maar welk niveau van encryptie al dan niet is vereist en of die al dan niet gebroken kan worden, blijft een punt van discussie.

En dan ook: hoe moet je melden? Met een persoonlijke brief of e-mail, een melding op de website, persbericht, advertentie. Ook dat moet Opta nog bepalen. Opta moet in elk geval een meldpunt oprichten waar lekken en systeemhacks gemeld moeten worden.

Verder is de verwachting dat bedrijven meldingen zo veel mogelijk zullen proberen te voorkomen, met een schuin oog op de negatieve publiciteit. Als het risico op het lekken van het lekken niet zo groot is, laten ze het wellicht na. Daar is niet zo veel aan te doen.

Effect?

Tenslotte is de vraag of het melden zoveel zin heeft. Nicole van der Meulen wijst er in haar proefschrift over identiteitsdiefstal Fertile Grounds: The Facilitation of Financial Identity Theft in the United States and the Netherlands op dat je niet al te veel moet verwachten van de maatregelen die betrokkenen kunnen nemen om identiteitsdiefstal tegen te gaan, ook al zijn zij ingelicht over een datalek. De gegevens zijn immers al gelekt. Je kunt je pas blokkeren of een ander wachtwoord nemen. Een aanbieder kan dat verplicht stellen, zoals onlangs gebeurde bij een lek in Joop.nl

Ook laat Van der Meulen in haar proefschrift zien dat het verband tussen datalekken en identiteitsdiefstal moeilijk is aan te tonen. In de Verenigde staten, blijkt uit ander onderzoek, is het effect van de meldplichten niet zo denderend: een vermindering van het aantal gevallen van identiteitsdiefstal van rond de 6 procent. Maar erg hard zijn die cijfers niet, want het valt niet erg precies te bepalen.

De perceptie van beveiliging kan een zwaardere marktoverweging worden. Zo zou je kunnen overstappen naar een andere aanbieder of provider na melding van één of meer datalekken, maar de consument weet niet of het gras aan de overkant groener zal zijn. Het grootste effect van de nieuwe wetgeving wordt dus een beter bewustwording van het belang van goede beveiliging. En er komen tenminste cijfers over datalekken. Maar het is ook de vraag of die betrouwbaar zullen zijn, omdat ze gebaseerd zullen zijn op interviews, enquêtes en meldingen.

Opta

De Opta laat in een reactie weten: "We weten nog niet wanneer de meldplicht datalekken exact ingaat. Dat hangt af van de Eerste Kamer en de procedure van inwerkingtreding. Alle aanbieders van elektronische telecommunicatiediensten moeten zelf een systeem hebben om meldingen op te slaan, klanten informeren wanneer zijn of haar persoonsgegevens in handen van anderen terechtkomen en dit telefonisch of online melden.

De Opta zal alle meldingen verzamelen en beoordelen. Daarna zal de organisatie de meldingen toetsen op basis van de Meldplicht en de Beveiligingsplicht. Opta reageert op basis van signalen. Het Agentschap Telecom wordt verantwoordelijk voor het loket, dus de website."