D66 Europarlementariër Sophie in 't Veld reageert op de EU-richtlijn voor een meldplicht bij datalekkages. Zij hekelt het als slechts een cosmetische regel. Een van de struikelpunten is de beperking tot alleen isp's en telco's. "Het hadden geen regels voor de telecomsector moeten zijn, maar algemeen geldende principes," ageert zij.

Overheid zelf niet

Haar fractie heeft juist vantevoren al bezwaren geuit dat de aankomende meldplicht niet de aanbieders van online-diensten betreft. Daar bevindt zich tegenwoordig immers de bulk van privacygevoelige gegevens. In 't Veld haalt ook de dataverzamelwoede van de overheid aan, die daarvoor weer put uit bestanden van derden.

"Er is ook veel minder onderscheid tussen de publieke en de private sector wat betreft data vergaren en bewaren. De overheid gebruikt steeds meer data van de private sector, en daar gebruiken bedrijven ook weer onderling elkaars data." Zij vreest dat er met dergelijke 'vermenging' moeilijk valt aan te wijzen wie er verantwoordelijk is in geval van datalekkage en of de meldplicht dan daarvoor geldt.

"Kijk ook naar de bewaarplicht. Als politie of Justitie een usb-sleutel met die data kwijtraakt, valt dat niet onder de meldplicht." Roof of lekkage van die gegevens bij of door een isp of telecombedrijf valt er dan weer wel onder. "Dus er zijn verschillende normen voor dezelfde data."

Omslachtig

Een ander struikelpunt is de bureaucratische opzet van de meldplicht. "Bedrijven moeten álle 'security breaches' melden. Aan een organisatie, die dan moet beoordelen welke ervan serieuze 'breaches' zijn. Dat kost teveel tijd; zo'n instantie kan dat niet aan. Een beetje database heeft wel 100 'breaches' per dag."

EZ bevestigt deze opzet: in het nu bereikte compromis voor de Europese regels staat dat de privacyinbreuken moeten worden gemeld bij de toezichthouder, die dan een inschatting moet maken. "Als het waarschijnlijk is dat de inbreuk negatieve gevolgen zal hebben voor de abonnee moet ook de abonnee worden geïnformeerd." Het is nog niet duidelijk hoe dat informeren moet gebeuren.

'Ingebakken wantrouwen'

"Ik had liever een algemene meldplicht gezien. Voor alleen serieuze gevallen van datalekkage." In 't Veld wil de beoordeling daarvan overlaten aan de bedrijven zelf. "En geef de consument de mogelijkheid naar de rechter te stappen." Dat moet dan eerlijkheid bij de bedrijven afdwingen en daarmee ook een preventieve werking hebben.

"Helaas kiezen veel van mijn collega's toch voor de omslachtige procedure. Dat komt door ingebakken wantrouwen, jegens bedrijven. Maar de overheid is dan niet per definitie een goed alternatief." Zij stelt dat gezond wantrouwen op zich niet verkeerd is, maar ziet geen heil in de 'tussenstop' van een meldpunt dat ook een security-incident moet inschatten op de ernst ervan.

Moet breder

Ook de Europese privacywaakhond EDPS (European Data Protection Supervisor) plaatst kanttekeningen bij de aankomende meldplicht. De organisatie is wel ingenomen met de betere privacybescherming voor Europese consumenten. Tegelijkertijd pleit het voor een bredere meldplicht, eentje die geldt voor alle sectoren.

In 't Veld is daar voorzichtig optimistisch over. "De Commissie buigt zich komend jaar over een horizontale meldplicht", weet zij te melden. Wanneer dat gaat gebeuren, is echter nog onduidelijk; "De Commissie is nu immers demissionair."

Komend jaar

Totdat de nieuwe EU-overheid aantreedt, beperkt de EC zich tot lopende zaken en neemt het geen nieuwe dingen op zich. EC-president Barosso heeft zich wel uitgesproken vóór het beter beschermen van online-privacy. In 't Veld: "Hij geeft voorrang aan 'e'-zaken, en pleit ook voor 'privacy by design'."