Meldplicht datalekken op Europees niveau
- 16 januari 2013
Mede dankzij ons Zwartboek Datalekken, het overzicht van incidenten waarbij persoonlijke gegevens op straat zijn komen te liggen, zijn politici in Den Haag en Brussel overtuigd van de noodzaak van een meldplicht datalekken. Het meest haalbare voorstel komt uit Europa, al moeten daar belangrijke elementen in worden aangepast.
Bits of Freedom vindt dat bedrijven en overheid verplicht moet worden om betrokkenen te informeren als zij de controle over persoonsgegevens die hen zijn toevertrouwd, zijn verloren.
De staatssecretaris van Veiligheid en Justitie beloofde al begin 2011 een wetsvoorstel voor zo’n meldplicht. Pas een jaar later kwam het ministerie daadwerkelijk met een voorstel. Bits of Freedom heeft het ministerie naar aanleiding hiervan uitgebreid geadviseerd. Eén van de belangrijkste punten: onbevoegde toegang tot jouw persoonsgegevens moet het uitgangspunt van een melding zijn, niet het doorbreken van een beveiliging. Als het goed is, heeft het ministerie dat advies verwerkt en stuurt ze binnenkort een nieuw voorstel naar het parlement.
Ook in Europa zijn politici geschrokken. In Brussel is men druk doende met de herziening van de regels die jouw privacy moeten beschermen. Een onderdeel daarvan is ook een meldplicht voor datalekken. Zoals het er nu naar uitziet worden de Europese regels in 2014 van kracht. Omdat de regels in een zogenaamde “verordening” zijn vastgelegd, gelden die regels dan direct na het van kracht worden. Dat is anders dan met veel andere Europese regels, die eerst nog eens moeten worden omgezet in nationale wetgeving. Zo’n verordening maakt bovendien nationale regels overbodig. Omdat die Europese regels betrekkelijk snel van kracht lijken te zijn, richten we onze pijlen nu vooral op de herziening van de privacyregels.
Op het huidige voorstel hebben we overigens wel wat aan te merken. In de eerste plaats gaat ook de Europese Commissie niet uit van de onbevoegde toegang tot jouw gegevens als criterium voor een melding. In de tweede plaats garandeert het voorstel niet dat elk verlies van controle over jouw gegevens gemeld moet worden. Tenslotte wordt geen centraal register van lekken gepubliceerd, wat het moeilijk maakt om inzicht te krijgen in het probleem.
Onze suggesties lijken in ieder geval deels te worden overgenomen. Het Europees parlementslid Albrecht stelt voor het voorstel aan te passen en een lek te definiëren als:
“‘personal data breach’ means the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, personal data transmitted, stored or otherwise processed;”
Je kunt dat terugvinden op pagina 66 van het conceptrapport “on the proposal for a regulation of the European Parliament and of the Council on the protection of individual with regard to the processing of personal data and on the free movement of such data” van de Commissie Burgerlijke vrijheden, justitie en binnenlandse zaken van het Europese Parlement.