De belangenbehartiger voor de Nederlandse ict-sector ICT~Office heeft opnieuw een brief geschreven aan staatssecretaris Teeven in een reactie op het wetsvoorstel Wet Bescherming Persoonsgegevens. De brancheorganisatie is in december daarnaar gevraagd door Teeven. ICT~Office gaat in zijn brief alleen in op de meldplicht voor datalekken.

De organisatie heeft al vele malen eerder geageerd tegen die meldplicht, maar denkt nu nieuwe munitie te hebben gevonden. Het wijst naar voorstellen van de Europese Commissie over gegevensbescherming, waarin onder meer wordt voorzien in een meldplicht voor datalekken.

Daarom verzoekt ICT~Office de staatssecretaris nu “geen nieuwe privacywetgeving te introduceren die binnen afzienbare tijd zal worden vervangen door Europese regelgeving." Dat zou de implementatielasten voor het bedrijfsleven alleen maar opdrijven. “En creëert veel onduidelijkheid."

Herhaling van argumentatie

ICT~Office gaat verder nog wel dieper in op het Nederlandse wetsvoorstel en haalt daar de eerder al gedane argumentatie weer van stal. Zoals een “forse verzwaring van de lasten" zonder dat het direct de beveiliging van gegevens verhoogt. Verder is de relatie met andere plichten onduidelijk, is het melden van een lek slecht voor de reputatie van een bedrijf en geeft de meldplicht geen directe prikkels om de ict-beveiliging te optimaliseren.

Om het oplopen van een slechte reputatie tegen te gaan, pleit ICT~Office ervoor dat de gehele melding van een datalek als bedrijfsvertrouwelijk wordt aangemerkt. Daardoor zal alleen het College Bescherming Persoonsgegevens over de melding beschikken. Die mag dan niet alleen niet publiceren, ook kan het CBP niet via de Wet Openbaarheid van Bestuur worden gedwongen alsnog de melding openbaar te maken. Dit omdat het predikaat bedrijfsvertrouwelijk dat uitsluit.

Verder constateert ICT~Office de “zorgelijke tendens" dat verantwoordelijken die openheid betrachten direct worden geconfronteerd met “extra negatieve aandacht" voordat het hele incident is afgehandeld. “De samenleving moet duidelijk nog wennen aan het idee dat gegevens soms helaas toegankelijk blijken voor onbevoegden."

66.000 meldingen per jaar

Geschat wordt dat de meldplicht zal leiden tot 66.000 meldingen per jaar. Het CBP heeft al gezegd die niet allemaal te kunnen afhandelen en zal een selectie maken. Dat vindt ICT~Office niet gewenst, die spreekt over “papieren excercities" waar niemand baat bij heeft. “Het CBP zou alleen meldingen moeten ontvangen waaraan zij ook navolging kan geven."

Ook het mogelijk geven van bestuurlijke boetes is de belangenorganisatie in het verkeerde keelgat geschoten. “Een boete is niet de manier om verantwoordelijken te dwingen om te melden, het vergoot alleen de discussie." Ook is ICT~Office bang dat “verkeerde overwegingen een rol kunnen spelen" bij het al dan niet melden van een lek.