Justitie: volgend jaar voorstel meldplicht datalekken
- 08 oktober 2010
In september heeft Gesthuizen (SP) via kamervragen aangedrongen op een meldplicht datalekken. Demissionair Minister van Justitie Hirsch Ballin heeft op 9 oktober geantwoord dat de regering ernaar streeft medio volgend jaar een wetsvoorstel hiervoor in de Tweede Kamer te introduceren. Ook in het regeerakkoord is overigens de introductie van een meldplicht datalekken aangekondigd. Hieronder zijn de vragen en antwoorden opgenomen:
Vragen van het lid Gesthuizen (SP) aan de ministers van Justitie en van Economische Zaken over het invoeren van een meldplicht voor datalekken. (Ingezonden 9 september 2010)
1. Kent u het bericht ‘Creditcardgegevens dj Armin van Buuren gestolen’? 1) Wat vindt u er van dat het slachtoffer door de onderzoekers moest worden ingelicht en dat de financiële instelling die de creditcard heeft verstrekt dat kennelijk nog niet gedaan had?
Antwoord
Ja, ik ken het bericht. De precieze feiten en omstandigheden van dit geval zijn mij evenwel niet bekend. In het algemeen geldt dat de eerste verantwoordelijkheid voor het inlichten over datalekken ligt bij de gegevensbeheerder.2. Deelt u de mening dat de klant altijd geïnformeerd zou moeten worden over het feit dat zijn of haar persoonsgegevens zijn gestolen door het bedrijf dat deze gegevens beheert? Wanneer denkt u de door u toegezegde meldplicht voor datalekken in te kunnen voeren? 2) en 3)
5. Is het waar dat de aangekondigde wijziging van de Telecommunicatiewet slechts regelt dat er een meldplicht gaat gelden voor de Internet Service Providers? Deelt u de mening dat in geval van verlies van persoonsgegevens uit datasystemen deze meldplicht ook zou moeten gelden voor bedrijven (zoals financiële instellingen) die persoonsgegevens beheren? Zo nee, waarom niet? In welke wet zou dat kunnen worden geregeld en op welke wijze?
Antwoord vragen 2 en 5
Ik ben van oordeel dat alle verantwoordelijken voor de verwerking van persoonsgegevens, waaronder ook bedrijven zoals financiële instellingen, hun wettelijke verplichting tot het treffen van technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking dienen na te komen. Ik ben ook van oordeel dat een expliciete wettelijke verplichting voor hen om in ieder geval de betrokkenen en mogelijk ook de toezichthouder in te lichten over de door hen geconstateerde inbreuken op deze beveiligingsmaatregelen, een nuttige ondersteuning van de door de beveiligingsverplichting beschermde belangen betekent.Ik streef ernaar de door mij reeds in het algemeen overleg met de vaste kamercommissie voor Justitie op 3 februari 2010 (Kamerstukken II 2009/10, 31051, nr. 7) toegezegde wettelijke verankering van deze aanvullende verplichting in de Wet bescherming persoonsgegevens volgend jaar aan de Kamer voor te leggen. De wijze waarop de meldplicht voor geconstateerde doorbraken van de beveiliging van persoonsgegevens moet worden vormgegeven, zal nog nader moeten worden bepaald.
Dit laat onverlet dat een invoering van een specifieke meldplicht voor inbreuken op de beveiliging van persoonsgegevens in de elektronische communicatiesector, neergelegd in richtlijn nr. 2009/136/EG, door Nederland naar verwachting in mei volgend jaar zal worden geïmplementeerd.
De wijziging van de Telecommunicatiewet die daarvoor nodig is, zal nog dit najaar aan uw Kamer worden aangeboden. Het is inderdaad zo dat deze wijziging van de Telecommunicatiewet alleen betrekking heeft op beveiligingsinbreuken die gepaard gaan met verlies van persoonsgegevens door de invoering van een meldplicht die alleen geldt voor aanbieders van openbare elektronische communicatiediensten. Dat vloeit voort uit de beperking van de reikwijdte van de hierboven bedoelde richtlijn.
3. Deelt u de mening dat een breed geldende meldplicht ook zal bevorderen dat bedrijven dergelijke gevoelige gegevens nog beter zullen beveiligen?
Antwoord
Een breed geldende meldplicht is geen garantie voor een betere beveiliging, maar kan de optimalisering van beveiliging wel stimuleren. Dit neemt niet weg dat instellingen, organisaties en bedrijven die gevoelige gegevens beheren, los van welke eventuele meldplicht ook, gehouden zijn hun systemen tegen inbreuken van buitenaf adequaat te beveiligen.4. Op welke wijze zal de meldplicht voor datalekken voor de overheid en voor de private sector worden geregeld? Bent u inmiddels nagegaan ‘of er aanvullende wetgeving nodig is of convenanten of een combinatie daarvan’? 2)
Antwoord
De wijze waarop de meldplicht voor geconstateerde doorbraken van de beveiliging van persoonsgegevens moet worden vormgegeven, zal nog nader moeten worden bepaald. Overleg met het bedrijfsleven, het College bescherming persoonsgegevens en de Onafhankelijke post- en telecommunicatieautoriteit zal daarvoor ook noodzakelijk zijn.1) http://www.automatiseringgids.nl/it-in-bedrijf/beheer/2010/36/creditcardgegevens-dj-armin-van-buuren-gestolen.aspx
2) Kamerstuk 31051, nr. 7
3) Aanhangsel van de Handelingen, vergaderjaar 2009-2001, nr. 753