Meldplicht is onduidelijk, lastig, risicovol, maar ook voordelig
Nederlandse bedrijven krijgen een meldplicht voor privacy-lekken. De details zijn nog onduidelijk maar dat het ervan komt, is zeker. Een plicht die extra inspanning vereist, meldingsmoeheid kan veroorzaken én een nieuw unique selling point (USP) brengt: “Wij zijn privacy-proof.”
“Hier gaat het om!” Een telefoonboek dikke ordner ploft op tafel. “Zoveel verschillende meldplichten zijn er nu, op nationaal en Europees niveau, en voor specifieke sectoren. Bijvoorbeeld voor de telecomindustrie en de financiële sector.” Aan het woord is privacy-advocaat Friederike van der Jagt, werkzaam bij Stibbe. Nederland krijgt binnenkort een privacy-meldplicht, nog vóór de aankomende EU-verordening op dat gebied. Van der Jagt spreekt over de notificatieplichten op de security-conferentie die het Nationaal Cyber Security Centre begin juni hield in Den Haag. Van der Jagt geeft ICT/Magazine vooraf een toelichting op deze complexe materie.
“De reeds bestaande meldplichten zijn deels voor privacy-lekken maar ook voor zogenaamde security breaches. Die zogenaamde ‘smalle’ meldplichten zijn er dus al. Maar nu komt er een brede meldplicht aan.” Tenminste, breedte is het oorspronkelijke idee, maar Van der Jagt stelt dat veel al is vastgelegd in de huidige privacywetgeving, die algemeen van toepassing is. Bedrijven moeten daarbij immers al ‘zorgvuldig omgaan met data van consumenten’ en hen over het gebruik van die gegevens informeren. Dat laatste omvat ook mogelijk misbruik, bijvoorbeeld bij verlies of diefstal van data.
Gemist doel
Het oorspronkelijke wetsvoorstel voor de aankomende meldplicht is ruim geformuleerd. Eigenlijk zou melding verplicht zijn voor alle inbreuken op de beveiligingsmaatregelen van een bedrijf waarvan ‘redelijkerwijs kon worden aangenomen’ dat deze zouden leiden tot een ‘aanmerkelijke kans’ op nadelige gevolgen voor de privacy van personen. Melding moest dan worden gedaan bij de toezichthouder (het CBP, College bescherming persoonsgegevens) en in bepaalde gevallen ook bij de betrokken personen.
Het doel was dat consumenten hierdoor beter geïnformeerd en beschermd zouden worden. Dat doel dreigde te worden gemist, door de open normen die in de meldplicht waren opgenomen. Het gevolg zou dan zijn: álles melden. Bedrijven zouden namelijk het zekere voor het onzekere nemen, want op schending van de meldplicht staan forse boetes. De dan te verwachten stortvloed aan meldingen van mogelijk datamisbruik of -verlies zou leiden tot meldingsmoeheid, aldus Van der Jagt.
In april dit jaar is de meldplicht dan ook aangepast. Staatssecretaris Fred Teeven heeft het Nederlandse wetsvoorstel voorzien van een drempel: melding is alleen verplicht indien een inbreuk op de beveiliging ‘ernstige nadelige gevolgen’ heeft voor de privacy. “Het CBP was niet blij met deze ‘uitholling’,” vertelt privacy-advocaat Van der Jagt.
Inbraak is niet altijd inbreuk
Volgens Van der Jagt is het wél een goede aanpassing. Hacks zoals de recente inbraak bij eBay waarbij onder meer e-mailadressen en versleutelde wachtwoorden werden buitgemaakt, zouden er namelijk wel onder vallen. Maar een hypothetisch geval van inbraak, waarbij één van twee firewalls is gepasseerd, wellicht juist niet. Het laatste voorbeeld is formeel wel een inbreuk op de beveiliging van een bedrijf, alleen hoeft dat niet automatisch dataverlies te betekenen. “Je moet kijken naar de aard en omvang van de inbreuk en naar de aard en omvang van de data.”
In de praktijk is het niet zo simpel, ook niet met de recente aanpassing van het Nederlandse wetsvoorstel. Vooraf is immers niet altijd duidelijk of een beveiligingsinbreuk ‘ernstige nadelige gevolgen’ heeft voor de privacy. Extra verwarring kan ontstaan over het verschil tussen melding aan het CBP en melding aan de betrokkenen. Consumenten moeten worden ingelicht als er ‘waarschijnlijk ongunstige gevolgen’ zijn. Van der Jagt: “Dat is weer anders dan ‘ernstige gevolgen’, wat nu juist de drempel is voor de CBP-melding.” De beoogde tweetrapsraket van melding aan de privacy toezichthouder en aan de betrokkenen lijkt zo geen goede vlucht te krijgen.
Een moeras
De overheid heeft volgens Van der Jagt een misplaatste inschatting van de privacy kennis bij burgers. Dat geldt niet alleen voor individuen, maar ook voor organisaties. Het bedrijfsleven, ook het MKB waar Nederland zo rijk mee bedeeld is, heeft het zelf niet goed door. Wel is het dankzij technologie flink bezig met privacygevoelige gegevens. En daarmee komen ze binnen het bereik van de meldplicht, met alle juridische en technische complexiteiten van dien. “Het blijft een moeras,” verzucht de privacy-advocaat.
Toch is niet allemaal ellende wat de klok slaat. De meldplicht, zowel de Nederlandse als de over enkele jaren te verwachten EU-verordening (met gigantische boetes van maximaal € 100 miljoen of 5 procent van de wereldwijde omzet van een bedrijf), kan broodnodige ‘datahygiëne’ brengen. Veel data – zelfs incorrecte – wordt tegenwoordig domweg bewaard. De opslag kost immers weinig tot niets. Het vollopen van de dossierkast is in de digitale wereld niet aan de orde, legt Van der Jagt uit.
Reputatieschade
Ze wijst op een bijkomende drijfveer voor deze opslagneiging: de notie dat oude data later nog valt te analyseren voor zakelijk nut. De privacy-advocaat legt uit dat dat lang niet altijd is toegestaan, onder de reeds lang bestaande privacywetgeving. De data is immers onder bepaalde voorwaarden ooit verstrekt. “Die mag je niet zomaar gebruiken voor andere doeleinden.”
Daarnaast speelt er de toegenomen maatschappelijke gevoeligheid ten aanzien van commercieel datagebruik, wat onlangs big data-plannen van banken als ING en van betalingsverwerker Equens heeft doorkruist. Van der Jagt denkt dat de privacy-perceptie van het publiek en de daardoor op te lopen reputatieschade mogelijk een veel krachtiger werking heeft dan de dreiging van overheidsboetes. Zoals bedrijven zich nu profileren met maatschappelijk verantwoord ondernemen, kan onderscheid straks zitten in privacy-proof zijn. Haar advies luidt dan ook: “Bezint eer ge bewaart”.