De Raad van State heeft grote bedenkingen tegen de meldplicht datalekken, zo blijkt nu. Het belangrijkste adviesorgaan van de regering heeft in september vorig jaar een advies uitgegeven over die meldplicht, waarbij de regering werd gevraagd specifieker te zijn in de omschrijving van de meldplicht, omdat de vaagheid van de bepalingen zou leiden tot een hausse aan onterechte meldingen. Dat leidt dan weer tot veel extra lasten voor het bedrijfsleven.

Teeven legt kritiek naast zich neer

Staatssecretaris Teeven legt die kritiek nu naast zich neer. Hij vindt het juist de bedoeling dat de meldplicht zo breed mogelijk wordt geformuleerd. Verder zegt Teeven dat hij in een bijgevoegde clausule duidelijk genoeg is geweest. “In mijn optiek is de meldplicht voldoende duidelijk geformuleerd en is de clausulering waarmee bagatelzaken van de meldplicht worden uitgezonderd, essentieel om ervaring op te doen met een brede meldplicht als deze.”

Teeven denkt daarnaast dat de richtsnoeren zoals die zijn geformuleerd door het College Bescherming Persoonsgegevens genoeg leidraad zijn. “Het valt moeilijk te voorspellen wat de effecten hiervan zijn”, schrijft hij aan de Tweede Kamer, “maar in zijn algemeenheid mag worden verwacht dat deze richtsnoeren eraan bijdragen dat de verantwoordelijken investeren in een goede en op de specifieke kenmerken en risico’s van de verwerking van toegesneden beveiliging, zodat het lekken van persoonsgegevens wordt voorkomen of beperkt.”

Geen beveiliging, dan ook geen meldplicht

Ook wijst de Raad van State erop dat in de meldplicht steeds wordt uitgegaan dat degene die persoonsgegevens verwerkt, veiligheidsmaatregelen heeft getroffen en de meldplicht dus eigenlijk alleen maar geldt als er onvoldoende maatregelen zijn getroffen. Als er geen maatregelen zijn getroffen, hoeft de verantwoordelijke strikt naar de letter van de meldplicht geen melding te doen. Teeven doet dat af als hypothetisch.

“Daarmee beschadigt hij zijn eigen reputatie en maakt hij zich kwetsbaar voor schadeclaims”, zegt Teeven. “Het is in mijn optiek dan ook logisch om bij de omschrijving van de meldplicht het verband met de beveiligingsplicht te leggen. Daarmee beoogt de wetgever de verantwoordelijke aan te zetten om te investeren in een goede beveiliging, zodat datalekken zoveel mogelijk worden voorkomen of beperkt.”