Marthe Riewald, advocaat bij WiseMen Advocaten, over de handhaving van de meldplicht datalekken

De boetebevoegdheid van het Cbp

Wordt het bijten of blaffen?

Gastartikel Marthe Riewald

Foto: Roy Beusker
Foto: Roy Beusker

Nederland staat op het punt van een omwenteling. Het toezicht op de naleving van de privacyregels gaat veranderen, onder andere als gevolg van de meldplicht datalekken die op 1 januari 2016 ingaat. Daarmee krijgt het College bescherming persoonsgegevens (Cbp) als toezichthoudende autoriteit daadwerkelijk een stok om mee te slaan. Het Cbp zal boetes op kunnen leggen, onder meer voor het schenden van de verplichting om een datalek te melden.

Hoe zal de meldplicht datalekken de wijze van handhaven door het Cbp veranderen?

Marthe Riewald, advocaat bij WiseMen Advocaten in Den Haag, gaat in dit gastartikel in op de huidige handhavingsmogelijkheden van het Cbp, de beveiliging van persoonsgegevens, de wijzigingen in de wet, het concept richtsnoer en de gevolgen van de beschreven veranderingen. Ze besluit deze bijdrage met een conclusie.

                                                                                                                                             Tekst: Marthe Riewald
Fotografie: Roy Beusker

Handhaving

Bij het in werking treden van de Wet bescherming persoonsgegevens (Wbp) in 2001 is al aangegeven dat de bal voor wat betreft de handhaving van de regels in deze wet bij de betrokken personen ligt. Met andere woorden, mensen van wie de gegevens worden verwerkt zouden zelf primair verantwoordelijk moeten zijn voor de wijze waarop wordt omgegaan met hun gegevens. De memorie van toelichting bij de Wbp, een voorbereidend parlementair stuk, geeft hierover aan:

“Evenals onder de huidige wet zal het in de WBP bij de handhaving van wettelijke voorschriften in belangrijke mate aankomen op het initiatief van degene van wie gegevens worden verwerkt.”[1]

Dit betekent niet dat het Cbp helemaal geen mogelijkheden heeft om de naleving van de regels zelfstandig af te dwingen. Het Cbp mag immers in enkele gevallen een bestuurlijke boete opleggen van maximaal € 4.500,- en kan bestuursdwang toepassen. De bestuurlijke boete ziet echter slechts op het, kort samengevat, niet aanmelden van een gegevensverwerking bij het Cbp. Misschien op dit moment nog wel het meest efficiënte handhavingsmiddel is het onderzoek dat het Cbp op grond van artikel 60 Wbp uitvoert en publiceert. Tijdens een dergelijk onderzoek wordt gekeken op welke wijze de Wbp door de verantwoordelijke wordt nageleefd. Zo is er onlangs nog een onderzoek uitgevoerd naar de verwerking van persoonsgegevens die Ziggo uitvoert met betrekking tot het gebruik van interactieve digitale televisiediensten.[2] Worden er overtredingen van de regels geconstateerd, dan wordt dit aan de betrokken onderneming gemeld. Dit leidt dikwijls tot het aanpassen van de werkwijze van de bewuste onderneming. Het gaat dan ook om een efficiënte manier van ‘naming and shaming’, nu de onderzoeken op de website van het Cbp worden gepubliceerd.

Beveiliging

Een goede bescherming van de privacy staat of valt met de beveiliging van de betrokken gegevens. Immers, hoeveel waarde heeft een zorgvuldig geselecteerde verwerkingsgrondslag of een duidelijk privacystatement wanneer gegevens uiteindelijk zomaar op straat kunnen komen te liggen? De Wbp verplicht de verantwoordelijke voor de gegevensverwerking dan ook om de persoonsgegevens passend te beveiligen. Artikel 13 van deze wet bepaalt dat:

“De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.”

Een interessante en voor de praktijk zeer relevante vraag is natuurlijk wat deze passende maatregelen nu precies inhouden. Wanneer is een maatregel passend? En wanneer is sprake van een passend beveiligingsniveau? Het Cbp probeerde in 2013 enig licht in de duisternis te scheppen door een richtsnoer uit te geven.[3],[4] In dit richtsnoer worden tips gegeven over hoe de beveiliging dient te worden vormgegeven. Een belangrijk onderdeel hiervan is het creëren van beveiligingsbewustzijn:

Beveiligingsbewustzijn:

“Alle werknemers van de organisatie en, voor zover van toepassing, ingehuurd personeel en externe gebruikers krijgen geschikte training en regelmatige bijscholing over het informatiebeveiligingsbeleid en de informatiebeveiligingsprocedures van de organisatie, voor zover relevant voor hun functie. Binnen de training en bijscholing wordt expliciet aandacht besteed aan de omgang met  (bijzondere of anderszins gevoelige) persoonsgegevens.”[5]

Naast de richtsnoeren bieden ook de beschikbare beveiligingsstandaarden hulp bij het invullen van de open norm van de wet. Het Cbp verwijst naar de verschillende NEN-normen om aan te geven wat nodig is om een passend beschermingsniveau te kunnen bereiken.

Maar wat gebeurt er als een verantwoordelijke, onverhoopt, niet voldoet aan het artikel dat passende beveiliging van gegevens voorschrijft? Zoals eerder in deze bijdrage beschreven, heeft het Cbp in dat geval momenteel weinig in de melk te brokkelen. Dit gaat echter veranderen per 1 januari 2016.

Wijzigingen

Op 10 februari 2015 heeft de Tweede Kamer met algemene stemmen het wetsvoorstel over de meldplicht datalekken aangenomen.[6] Het voorstel zal, onder andere, een artikel toevoegen aan de Wbp dat de handhavende mogelijkheden van het Cbp moet versterken, artikel 34a Wbp. Het artikel verplicht tot een melding aan het Cbp indien een inbreuk plaatsvindt op de beveiligingsmaatregelen zoals geïmplementeerd naar aanleiding van artikel 13 en komt er zo uit te zien:

“De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.”

Met andere woorden, wanneer de beveiligingsmaatregelen worden doorbroken dient een melding te worden gedaan aan het Cbp. Wanneer de inbreuk op de maatregelen waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van een betrokkene, dient deze betrokkene ook in kennis te worden gesteld van de inbreuk. Vervolgens wordt het Cbp in het tevens door het wetsvoorstel te wijzigen artikel 66 Wbp de mogelijkheid gegeven om een bestuurlijke boete op te leggen indien deze melding niet tijdig is uitgevoerd. Het gaat om boetes tot een maximum van €810.000,-

Het is de vraag hoe het Cbp zal omgaan met de nieuwe bevoegdheid om een bestuurlijke boete op te leggen. Een relevant punt is het voorbehoud dat is opgenomen in het derde lid van genoemd te wijzigen artikel 66 Wbp. Het Cbp dient namelijk, voordat het een boete mag opleggen, een bindende aanwijzing te geven aan de verantwoordelijke. De bindende aanwijzing bestaat uit een last om bepaalde handelingen uit te voeren. Het Cbp zal de verantwoordelijke dan dus vertellen welke acties per wanneer dienen te worden uitgevoerd. De verantwoordelijke zal deze aanwijzingen op moeten volgen. Dit artikel 66 is zó geformuleerd dat het Cbp deze aanwijzing in beginsel verplicht is te geven. Dit is slechts anders indien de verantwoordelijke de overtreding opzettelijk heeft gepleegd of de overtreding het gevolg is van ernstig verwijtbare nalatigheid. Het Cbp mag hierbij zelf bepalen of de overtreder nog een termijn gegund wordt om het gedrag te verbeteren. Deze termijn hoeft dus niet in alle gevallen te worden gegeven.

Concept richtsnoer

Om verantwoordelijken de kans te geven zich voor te bereiden op de handhaving van het Cbp met de nieuwe bevoegdheden, heeft het Cbp een concept richtsnoer gepubliceerd. Na een openbare consultatie zal dit concept leiden tot een definitief document waarin aan de verantwoordelijke wordt aangegeven op welke wijze en in welke gevallen hij een datalek dient te melden aan het Cbp. In het concept richtsnoer is al wat terug te vinden van de visie die het Cbp heeft op de nieuwe bevoegdheden:

“Bij het opleggen van een boete houdt het CBP rekening met de omstandigheden van het geval, en met de interpretatieruimte voor de verantwoordelijke bij het toepassen van de wettelijke normen op zijn situatie. Alleen als de verantwoordelijke een apert onredelijke interpretatieruimte toepast (door de melding achterwege te laten terwijl het evident is dat er gemeld had moeten worden) zal het CBP gebruik maken van zijn bevoegdheid tot het opleggen van een bestuurlijke boete.”[7]

Deze passage geeft verantwoordelijken inzicht in de wijze waarop het Cbp vermoedelijk invulling zal geven aan haar bevoegdheid. Springt een verantwoordelijke zorgvuldig om met de privacy van de bij een verwerking betrokken personen, dan zal mijns inziens niet snel een torenhoge boete worden opgelegd. Mijn eigen verwachting is dat het Cbp veel zal werken met de bindende aanwijzing en de verantwoordelijke een last oplegt om de inbreuk op de beveiliging van gegevens aan de betrokkenen te melden.

Conclusie

De meldplicht datalekken geeft het Cbp meer mogelijkheden om de bepalingen uit de Wbp te handhaven. Zoals echter aangegeven, zal de boetebevoegdheid inzake de meldplicht datalekken vermoedelijk alleen worden toegepast wanneer sprake is van een ‘apert onredelijke interpretatieruimte’ door de verantwoordelijke. De vraag is daarmee in hoeverre de (vrees voor het toepassen van de) bevoegdheden zullen leiden tot een andere wijze van omgaan met persoonsgegevens.

Ik merk dat de naderende veranderingen, overigens in samenspel met de Europese Algemene Verordening Gegevensbescherming, meer privacybewustwording creëren. Dit geldt zowel voor degene waarvan persoonsgegevens worden verwerkt als voor de verantwoordelijke voor de verwerking van persoonsgegevens. In mijn praktijk krijg ik veel vragen over de beveiligingsmaatregelen die dienen te worden getroffen, vaak naar aanleiding van een door twee partijen verplicht te sluiten bewerkersovereenkomst op basis waarvan partijen samen gegevens verwerken. In die overeenkomst dienen de (beveiligings)maatregelen opgenomen te worden en op dat moment rijst vaak de vraag of deze afdoende en passend zijn. Door de naderende wijzigingen wordt hier meer aandacht aan besteed. Ik krijg ook meer vragen van mensen die zich door de verhoogde activiteit rondom privacyvraagstukken veel bewuster worden van de hoeveelheid data die over hen bestaan en waar deze data zich precies bevinden. Tot slot, het advies is om verschillende privacybeschermende maatregelen te nemen (zie aanbevelingen) om te voorkomen dat uw organisatie zich in hetzelfde rijtje zal scharen als Avid Dating Life Inc., ook wel bekend als de onderneming die verantwoordelijk is voor de website van Ashley Madison.

 


Voetnoten en bronnen:

[1] Kamerstukken II, 1997–1998, 25 892, nr. 3, p. 29.

[2] Cbp, “Onderzoek naar de verwerking van persoonsgegevens met betrekking tot of door het gebruik van interactieve digitale televisiediensten van Ziggo”, 28 april 2015.

[3] Cbp, ‘Richtsnoeren beveiliging van persoonsgegevens’, 19 februari 2013.

[4] Met de inwerkingtreding van het wetsvoorstel zal het Cbp een naamswijziging ondergaan en voortaan de Autoriteit Persoonsgegevens worden genoemd. Voor de duidelijkheid houd ik in dit artikel de benaming tot 1 januari 2016 aan.

[5] Cbp, ‘Richtsnoeren beveiliging van persoonsgegevens’, 19 februari 2013, p. 22.

[6] Kamerstukken II, 2012/2013, 33 662, 2.

[7] Cbp, ‘De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp), Consultatieversie’, 21 september 2015, p. 43.