Vanaf uiterlijk medio 2011 komt er een meldplicht voor de telecomsector waardoor providers moeten melden wanneer persoonlijke gegevens van klanten op straat komen te liggen. Dat staat in de voorgestelde wijziging van de Telecommunicatiewet, waar personen, bedrijven en belangenorganisaties in april en mei op konden reageren.

Op het concept-wetsvoorstel, dat naast de meldplicht vele andere zaken betreft, zijn 64 openbare reacties binnengekomen. Diverse partijen hebben daarnaast op vertrouwelijke basis gereageerd.

Iedere inbreuk melden?

Een aantal providers heeft forse bezwaren bij de voorgestelde opzet van de meldplicht. KPN mist nuance met betrekking tot de aard van de veiligheidsinbreuk. "De tekst van het voorontwerp zou er toe kunnen leiden dat iedere inbreuk,hoe gering ook, gemeld moet worden", schrijft KPN (pdf).

Volgens KPN gaat het Nederlandse voorstel de Europese richtlijn voorbij. "Immers, de Richtlijn koppelt de verplichting aan de inbreuk die ‘waarschijnlijk ongunstige gevolgen zal hebben’, terwijl het voorontwerp de verplichting koppelt aan de inbreuk die ‘naar verwachting nadelige gevolgen heeft of kan hebben’."

Hoge kosten melding

KPN loopt ook te hoop tegen de plicht om datalekken te melden aan niet alleen de OPTA, maar ook aan gedupeerde particulieren. Dit leidt tot "onaanvaardbaar hoge kosten", zeker omdat een datalek "grote groepen klanten kan betreffen".

Overigens staat in het wetsvoorstel dat betrokken personen niet hoeven worden te geïnformeerd als de gegevens versleuteld zijn.

Daarnaast meldt KPN dat het "lastig, zo niet onmogelijk" is om in alle gevallen te achterhalen of er een veiligheidsinbreuk heeft plaatsgevonden, die mogelijk gevolgen kan hebben voor een gebruiker.

Geen weet van lek

In een gezamenlijke reactie schrijven (pdf) Caiway, Tele2 en Vodafone dat de meldplicht moeilijk uitgevoerd kan worden als de provider niet weet dat er een datalek is. De bedrijven willen dan ook dat in het voorstel komt dat "niet kan worden verweten" als aanbieders geen melding hebben gemaakt van de inbreuk.

Verder willen de drie telco's dat er vastgelegd wordt dat er geen verplichting bestaat om melding te doen van inbreuken op netwerken van derden. "Bijvoorbeeld aanbieder die ziet dat een bank gegevens heeft openstaan."

Geen publicatieplicht

Verder willen de drie dat de meldplicht vertrouwelijk blijft, en dat er geen publicatieplicht is. De toezichthouder mag slechts "in uitzonderlijke gevallen" meldingen bekendmaken aan het grote publiek.

BBned, Online en wederom Tele2 hebben ook een gezamenlijke reactie ingediend, maar dit is dezelfde als de brief van Caiway, Tele2 en Vodafone. Het stuk (pdf) is ook geschreven door dezelfde advocaat.

Zomer 2011

Economische Zaken laat weten het dat de reacties uit de branche aan het verwerken is. Mogelijk worden reacties meegenomen in het wetsvoorstel. Het streven is dat de Tweede Kamer deze zomer het wetsvoorstel gaat behandelen. Zomer 2011 moet de wet geïmplementeerd zijn.

Het wetsvoorstel volgt een EU-richtlijn uit november 2009. Lidstaten moeten uiterlijk medio 2011 een meldplicht in de wet opnemen die geldt voor telecombedrijven en internetproviders.

Al direct was er de kritiek dat de meldplicht veel te beperkt is. De wet zou voor alle databankbeheerders moeten gelden, werd gesteld.

Brede meldplicht

Minister Hirsh Ballin heeft in maart aan de Tweede Kamer beloofd een brede meldplicht te onderzoeken. "Voor de private sector moeten wij nagaan of er aanvullende wetgeving nodig is of convenanten of een combinatie daarvan. Het is de bedoeling dat het ook voor de private sector geldt", zei Hirsch Ballin destijds.

De Consumentenbond meldt dat het deze week een gesprek met minister Van der Hoeven van Economische Zaken heeft gehad over de meldplicht. De bond wil graag dat de meldplicht al meteen uitgebreid wordt naar alle bedrijven en overheden.