Nieuwe meldplicht datalekken: vrees voor boetes terecht?
Onlangs werd bekend dat de Autoriteit Consument en Markt (ACM) een boete van 364.000 euro heeft opgelegd aan KPN. De rechter heeft bevestigd dat deze boete terecht is opgelegd. Opvallend is dat de ACM de boete direct mocht opleggen. Zij hoefde niet eerst een waarschuwing te geven.
Daarnaast hebben de maatregelen die KPN heeft genomen na de hack geen invloed op de hoogte van de boete. Kan het College bescherming persoonsgegevens (Cbp) straks ook direct een boete opleggen bij overtredingen op grond van de nieuwe wet meldplicht datalekken? En moet het Cbp bij de hoogte van de boete rekening houden met de maatregelen die zijn getroffen na de ontdekking van het lek?
ACM vs. Cbp
De ACM heeft niet dezelfde bevoegdheden als het Cbp. In de KPN-zaak is het onderzoek ingesteld door de ACM, omdat deze waakhond bevoegd is bij 'aanbieders van een elektronisch openbaar communicatienetwerk', zoals telecomproviders. Deze organisaties zijn op grond van de Telecommunicatiewet al langere tijd verplicht om datalekken te melden. De ACM mag bij deze partijen boetes opleggen. Het Cbp mag vanaf 1 januari 2016 bij datalekken ook boetes opleggen aan alle andere Nederlandse organisaties en overheidsinstanties die persoonsgegevens verwerken.
Boete zonder waarschuwing
Zoals gezegd zijn er twee punten uit het arrest die opvallen. Allereerst mocht de ACM direct, zonder waarschuwing een boete opleggen aan KPN. Mag het Cbp dan straks ook direct een boete opleggen bij een datalek? Opmerking verdient allereerst dat niet alle datalekken hoeven te worden gemeld bij het Cbp. Dit hoeft alleen als de datalek leidt tot 'ernstige nadelige gevolgen voor de bescherming van persoonsgegevens'. Ten tweede geldt voor bijna alle overtredingen dat het Cbp eerst een zogenaamde ‘bindende aanwijzing’ moet geven. Met deze aanwijzing krijgen organisaties en overheidsinstanties de opdracht om aanpassingen door te voeren. Wordt deze bindende aanwijzing van het Cbp niet opgevolgd, dan mag het Cbp een boete opleggen. Is er sprake van opzet of ‘ernstige verwijtbare nalatigheid’, dan hoeft het Cbp niet eerst een bindende aanwijzing te geven, maar kan het direct een boete opleggen. Wanneer daarvan sprake is, is nu nog niet duidelijk.
Maatregelen na het lek
Een tweede punt uit het arrest dat opvalt is dat de maatregelen die KPN had genomen na de hack door de rechter niet werden meegewogen. Onduidelijk is of het Cbp dat wel zal doen. Wettelijk gezien is het Cbp daar straks in ieder geval niet toe verplicht. Het is mogelijk dat het Cbp hier straks in de praktijk wel rekening mee zal houden bij het opleggen van de boete. Overigens is er Europese wetgeving in de maak waarin het Cbp wél verplicht lijkt te zijn om te kijken naar de maatregelen die zijn getroffen na het lek. Deze wetgeving is nog niet vastgesteld of in werking getreden.
Conclusie
Het lijkt er tot nu toe op dat het Cbp alleen direct een boete zal opleggen als het heel bont wordt gemaakt. Een enkele fout in de software zal in ieder geval nog niet kunnen leiden tot een boete. Bij KPN was er wel een hele hoop mis: er was onvoldoende onderhoud, intrusion detection systemen ontbraken, er was op essentiële punten geen veiligheidsbeleid, enzovoorts. Pas bij zulke "ernstige verwijtbare nalatigheid" of "opzet" zal ook het Cbp direct een boete kunnen opleggen. In andere gevallen zal het Cbp eerst een bindende aanwijzing geven. Voor hoge boetes lijken we dus niet te hoeven vrezen.
Anna Maj Drenth is afgestudeerd voor de masters Recht & ICT en criminologie aan de Rijksuniversiteit Groningen. Zij houdt zich voornamelijk bezig met juridische vraagstukken rond privacy en intellectuele eigendom. Anna Maj Drenth is tot eind september 2015 verbonden als stagiair bij ICTRecht.
Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.
allemaal aannames, het lijkt erop, voor hoge boetes lijken...
Zeg dan niks..
Het is nog totaal onbekend hoe het CBP hier mee om zal gaan; en er zal eerst wel een en ander via rechtzaken verduidelijkt moeten worden.
Het vergelijken van Appels met Peren (2 verschillende organisaties; verschillende wetten, etc.) heeft echt geen zin in zo een situatie,.
Daarnaast nog de opmerking dat de vraag die gesteld word (vrees voor hoge boetes terecht) NIET correct beantwoord word in de laatste zin.
Immers, als iemand het WEL bond maakt met de gegevens/onachtzaamheid/verwijtbaarheid er zomaar een hoge boete opgelegd kan worden.
Onzinnig artikel dit..
Had op beter gehoopt van een ' afgestudeerd voor de masters Recht & ICT en criminologie aan de Rijksuniversiteit Groningen. Zij houdt zich voornamelijk bezig met juridische vraagstukken rond privacy en intellectuele eigendom"
Een beetje vreemd, het is ernstig voor de personen wiens gegevens gelekt zijn. De bescherming v.d. persoonsgegevens is al niet in orde als er gelekt wordt
Gelukkig hebben we weer een achterdeurtje gebouwd om er onderuit te kunnen komen, de richtsnoeren om de ernst te bepalen moeten nog geschreven worden..
niet zo desastreus is.
Een voorbeeld daarvan is het BSN.
Als er een lijst op straat komt met alle 16 miljoen BSN's van alle burgers van Nederland dan is dat "heel vervelend"
maar men moet gewoon zorgen dat daar door niemand verder in de problemen raakt. Niet door te voorkomen dat dat
gebeurt (want dat gaat toch wel een keer gebeuren), maar door alle plekken waar een BSN het beginpunt is van allerlei
mogelijkheden tot fraude en ellende te dichten.
Het richtlijnenvoorstel is hier: https://cbpweb.nl/sites/default/files/atoms/files/richtsnoeren_meldplicht_datalekken.pdf
Het bevat een duidelijk kader van wat PII Of de Persoonlijk indentificeerbar in het kader van plicht melding datalekken inhoud. Daarna wat de bestuurlijke corrigerende maatregelen kunnen zijn die er bij horen. Wat men had kunnen/horen te doen voor een degelijke ICT inrichting is ook benoemd.
Bijvoorbeeld het enkel lekken van alle BSN nummers in Nederland zonder verdure gecombineerde data (geen naam niets). Dan is de vraag wat kan iemand met zo'n lijst? Wat is de impact is die er wel?
Wat ik me afvraag in dit kader en het artike, is:
- Ik dacht dat er een EU richtlijn zou komen die een maximum boete noemt van 10% omzet wereldwijd. In dat licht gezien is dit voorstel van het CBP AP wel een schrale afspiegeling.
- Ik mis ook de directe schadevergoeding aan de betrokkenen
Dan durf ik wel met zekerheid te beweren dat ieders BSN gelekt is. Alle geboortedata van alle Nederlanders trouwens ook, zij het ook zonder verdere gegevens...
Achterhalen welke bij wie hoort, there's the rub.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.