image

Nieuwe meldplicht datalekken: vrees voor boetes terecht?

maandag 21 september 2015, 11:16 door Anna Maj Drenth, 6 reacties

Onlangs werd bekend dat de Autoriteit Consument en Markt (ACM) een boete van 364.000 euro heeft opgelegd aan KPN. De rechter heeft bevestigd dat deze boete terecht is opgelegd. Opvallend is dat de ACM de boete direct mocht opleggen. Zij hoefde niet eerst een waarschuwing te geven.

Daarnaast hebben de maatregelen die KPN heeft genomen na de hack geen invloed op de hoogte van de boete. Kan het College bescherming persoonsgegevens (Cbp) straks ook direct een boete opleggen bij overtredingen op grond van de nieuwe wet meldplicht datalekken? En moet het Cbp bij de hoogte van de boete rekening houden met de maatregelen die zijn getroffen na de ontdekking van het lek?

ACM vs. Cbp

De ACM heeft niet dezelfde bevoegdheden als het Cbp. In de KPN-zaak is het onderzoek ingesteld door de ACM, omdat deze waakhond bevoegd is bij 'aanbieders van een elektronisch openbaar communicatienetwerk', zoals telecomproviders. Deze organisaties zijn op grond van de Telecommunicatiewet al langere tijd verplicht om datalekken te melden. De ACM mag bij deze partijen boetes opleggen. Het Cbp mag vanaf 1 januari 2016 bij datalekken ook boetes opleggen aan alle andere Nederlandse organisaties en overheidsinstanties die persoonsgegevens verwerken.

Boete zonder waarschuwing

Zoals gezegd zijn er twee punten uit het arrest die opvallen. Allereerst mocht de ACM direct, zonder waarschuwing een boete opleggen aan KPN. Mag het Cbp dan straks ook direct een boete opleggen bij een datalek? Opmerking verdient allereerst dat niet alle datalekken hoeven te worden gemeld bij het Cbp. Dit hoeft alleen als de datalek leidt tot 'ernstige nadelige gevolgen voor de bescherming van persoonsgegevens'. Ten tweede geldt voor bijna alle overtredingen dat het Cbp eerst een zogenaamde ‘bindende aanwijzing’ moet geven. Met deze aanwijzing krijgen organisaties en overheidsinstanties de opdracht om aanpassingen door te voeren. Wordt deze bindende aanwijzing van het Cbp niet opgevolgd, dan mag het Cbp een boete opleggen. Is er sprake van opzet of ‘ernstige verwijtbare nalatigheid’, dan hoeft het Cbp niet eerst een bindende aanwijzing te geven, maar kan het direct een boete opleggen. Wanneer daarvan sprake is, is nu nog niet duidelijk.

Maatregelen na het lek

Een tweede punt uit het arrest dat opvalt is dat de maatregelen die KPN had genomen na de hack door de rechter niet werden meegewogen. Onduidelijk is of het Cbp dat wel zal doen. Wettelijk gezien is het Cbp daar straks in ieder geval niet toe verplicht. Het is mogelijk dat het Cbp hier straks in de praktijk wel rekening mee zal houden bij het opleggen van de boete. Overigens is er Europese wetgeving in de maak waarin het Cbp wél verplicht lijkt te zijn om te kijken naar de maatregelen die zijn getroffen na het lek. Deze wetgeving is nog niet vastgesteld of in werking getreden.

Conclusie

Het lijkt er tot nu toe op dat het Cbp alleen direct een boete zal opleggen als het heel bont wordt gemaakt. Een enkele fout in de software zal in ieder geval nog niet kunnen leiden tot een boete. Bij KPN was er wel een hele hoop mis: er was onvoldoende onderhoud, intrusion detection systemen ontbraken, er was op essentiële punten geen veiligheidsbeleid, enzovoorts. Pas bij zulke "ernstige verwijtbare nalatigheid" of "opzet" zal ook het Cbp direct een boete kunnen opleggen. In andere gevallen zal het Cbp eerst een bindende aanwijzing geven. Voor hoge boetes lijken we dus niet te hoeven vrezen.

Anna Maj Drenth is afgestudeerd voor de masters Recht & ICT en criminologie aan de Rijksuniversiteit Groningen. Zij houdt zich voornamelijk bezig met juridische vraagstukken rond privacy en intellectuele eigendom. Anna Maj Drenth is tot eind september 2015 verbonden als stagiair bij ICTRecht.

Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.

Reacties (6)
21-09-2015, 13:49 door Anoniem
lekker nietszeggend artikel dit...

allemaal aannames, het lijkt erop, voor hoge boetes lijken...

Zeg dan niks..

Het is nog totaal onbekend hoe het CBP hier mee om zal gaan; en er zal eerst wel een en ander via rechtzaken verduidelijkt moeten worden.

Het vergelijken van Appels met Peren (2 verschillende organisaties; verschillende wetten, etc.) heeft echt geen zin in zo een situatie,.

Daarnaast nog de opmerking dat de vraag die gesteld word (vrees voor hoge boetes terecht) NIET correct beantwoord word in de laatste zin.
Immers, als iemand het WEL bond maakt met de gegevens/onachtzaamheid/verwijtbaarheid er zomaar een hoge boete opgelegd kan worden.


Onzinnig artikel dit..

Had op beter gehoopt van een ' afgestudeerd voor de masters Recht & ICT en criminologie aan de Rijksuniversiteit Groningen. Zij houdt zich voornamelijk bezig met juridische vraagstukken rond privacy en intellectuele eigendom"
21-09-2015, 15:05 door Anoniem
'ernstige nadelige gevolgen voor de bescherming van persoonsgegevens'.

Een beetje vreemd, het is ernstig voor de personen wiens gegevens gelekt zijn. De bescherming v.d. persoonsgegevens is al niet in orde als er gelekt wordt
Gelukkig hebben we weer een achterdeurtje gebouwd om er onderuit te kunnen komen, de richtsnoeren om de ernst te bepalen moeten nog geschreven worden..
21-09-2015, 16:41 door Anoniem
Ik hoop dat men ook eens gaat kijken naar het afwaarderen van bepaalde persoonsgegevens zodat het lekken daarvan
niet zo desastreus is.

Een voorbeeld daarvan is het BSN.
Als er een lijst op straat komt met alle 16 miljoen BSN's van alle burgers van Nederland dan is dat "heel vervelend"
maar men moet gewoon zorgen dat daar door niemand verder in de problemen raakt. Niet door te voorkomen dat dat
gebeurt (want dat gaat toch wel een keer gebeuren), maar door alle plekken waar een BSN het beginpunt is van allerlei
mogelijkheden tot fraude en ellende te dichten.
21-09-2015, 19:44 door karma4
Een net artikel ik weet niet alle reaguurders de moeite genomen hebben om zich in het onderwerp te verdiepen.
Het richtlijnenvoorstel is hier: https://cbpweb.nl/sites/default/files/atoms/files/richtsnoeren_meldplicht_datalekken.pdf
Het bevat een duidelijk kader van wat PII Of de Persoonlijk indentificeerbar in het kader van plicht melding datalekken inhoud. Daarna wat de bestuurlijke corrigerende maatregelen kunnen zijn die er bij horen. Wat men had kunnen/horen te doen voor een degelijke ICT inrichting is ook benoemd.

Bijvoorbeeld het enkel lekken van alle BSN nummers in Nederland zonder verdure gecombineerde data (geen naam niets). Dan is de vraag wat kan iemand met zo'n lijst? Wat is de impact is die er wel?

Wat ik me afvraag in dit kader en het artike, is:
- Ik dacht dat er een EU richtlijn zou komen die een maximum boete noemt van 10% omzet wereldwijd. In dat licht gezien is dit voorstel van het CBP AP wel een schrale afspiegeling.
- Ik mis ook de directe schadevergoeding aan de betrokkenen
22-09-2015, 09:36 door Cornelius - Bijgewerkt: 22-09-2015, 10:05
Goed stukje, kan ik wat mee, hoewel het (uiteraard) niet geheel compleet is (kan ook niet). En voor de reaguurders die liever een bullet list met exacte do's en dont's hebben: helaas is de juridische wereld niet binair...
22-09-2015, 09:37 door Anoniem
BSNs zonder verdere informatie uit laten lekken is net zo'n flauwe grap als beweren dat iemands pincode op het internet staat en verwijzen naar een file met daarin alle getallen van 0000 t/m 9999...

Dan durf ik wel met zekerheid te beweren dat ieders BSN gelekt is. Alle geboortedata van alle Nederlanders trouwens ook, zij het ook zonder verdere gegevens...

Achterhalen welke bij wie hoort, there's the rub.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.