COLLEGEIBESCHERMING1PERSOONSGEGEVENS

0 BD

1111111111111111

POSTADRES

Postbus 93374, 2509 AJ Den Haag

BEZOEKADRES

Juliana van Stolberglaan 4-10

TEL

070 - 88 88 500

FM

070 - 88 88 501

INTERNET

www.cboweb.91 www.mijnorivacy.n1

AAN Staatssecretaris van Veiligheid en Justitie De heer mr. F. Teeven Postbus 20301 2500 EH Den Haag DATUM 20 februari 2014 ONS KENMERK CONTACTPERSOON R.J. Steenkamp RE , 070-888 8500 [email protected] UW BRIEF VAN UW KENMERK ONDERWERP Wetsvoorstel meldplicht datalekken Geachte heer Teeven, Op 10 februari 2014 hebben wij bestuurlijk overleg gevoerd over - onder meer - het wetsvoorstel meldplicht datalekken. In dit overleg heeft het College bescherming persoonsgegevens (CBP) zijn bezwaren geuit tegen de voomemens die uw ministerie te kennen heeft gegeven om het wetsvoorstel te wijzigen. In deze brief licht ik deze bezwaren graag toe aan de hand van de concept-nota van wijziging die het CBP op 10 februari 2014 van het mini sterie van Veiligheid en Justitie ontving. In het regeeraldcoord 'Vrijheid en verantwoordelijkheid' uit 2010 kondigde het toenmalige kabinet aan met een voorstel te zullen komen "voor een meldplicht voor alle I diensten van de informatiemaatschappij, waaronder de overheid, in geval van verlieIs, diefstal of misbruik van persoonsgegevens waarbij

alle dataleidcen

[cursivering CBP] worden g Het CBP is altijd een warm voorstander van de meldplicht geweest a l 1 emeld aan de nationale toezichthouder die boetes kan opleggen indien de meldplicht met W iordt nageleefd." In de memorie van toelichting bij het wetsvoorstel refereert u expliciet aan dit voomemen. 1 angezien deze de beschenning van persoonsgegevens in het algemeen, en de versterking van de positie van de burger in het bijzonder in hoge mate kan dienen. De beoogde effecte 1 n zullen echter uitsluitend worden bereikt als de wettelijke meldplicht op een daartoe passende wijze is vormgegeven. In de concept-nota van wijziging van 10 februari 2014 wordt voorge isteld om de omschrijving van de reikwijdte van de meldplicht in het eerste lid van het nieuwe artikel 34a Wbp aan te passen, en sterk in te perken. 1 . De wettelijke drempel voor het melden van inbreuken wordt door de voorgestelde aanpassingen dermate hoog dat in de praktijk alleen nog de datalekken zullen wo 1rden gemeld waarvan de emstige nadelige gevolgen voor de bescherming van de verwerkte p1 ersoonsgegevens volstrekt evident zijn. In combinatie met de voorgestelde aanpassing in het vierde lid van artikel 34a Wbp

1 Kamerstukken 11

2012-13, 33662, 3, p. 2.

BULAGE1 1 BLAD 1

Cr)

COLLEG BESCHERMING1PERSOONSGEGEVENS DATUM 20 februari 2014 ONS KENMERK leiden deze aanpassingen er verder toe dat verantwoordelijken inbrenken pas zullen mdden op het moment dat zich daadwerkelijke ernstige nadelige gevolgen hebben voorgedaan. De melding krijgt daarmee het karakter van de put die wordt gedempt wanneer het kalf reeds verdronken is; na de zelf-incriminatie van de verantwoordelijke rest de toezichthouder slechts de mogelijkheid tot repressief optreden. De preventieve rol die voor de Itoezichthouder in bet oorspronkelijk ingediende wetsvoorstel nog was weggelegd is in de nota van wijziging:geheel verdwenen. Naar het oordeel van het CBP gaan de voorgestelde aanpassingen ainzienlijk verder dan nodig is om meldingen van bagatelzaken tegen te gaan. In het verslag van de l vaste commissie voor Veiligheid en Justitie d.d. 9 september 2013 ziet het CBP geen aanleidl ing voor de ingrijpende aanpassingen die in de nota van wijziging van 10 februari 2014 word en voorgesteld. Ook zijn de voorgestelde wijzigingen

met in

lijn met de meldplicht zoals die is vo I rmgegeven in de voorstellen van de Europese Commissie voor de herziening van het Europese w I ettelijke gegevensbeschermingskader. Gezien het bovenstaande geef ik u dringend in overweging om de nOta van wijziging met aldus in te dienen. Mocht u hierover van gedaditen willen wisselen, dan is het CBP daar uiteraard toe bereid. Hoogachtend, Het Coll rming persoonsgegevens, BLAD 2

Cr,

COLLEGEIBESCHERMING1PERSOONSGEGEVENS DATUM 20 februari 2014 ONS KENMERK

CD

Wetsvoorstel meldplicht datalekken: Commentaar CBP op de concept-nota van wijzighig van 10 febrtiari 2014

Nadere toelichting per lid van artilcel 34a Wbp

Onderstaand worden de bezwaren van het CBP per lid van artikel 31a Wbp nader toegOlicht. Tekst ii'vetSvowstel 1. De verantwoordelijke stelt het College onverwijld in kermis van een inbreuk op de beveiliging, bedoeld in artike113, waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aarnerkeijke kans op nade

li

ge gevolgen voor de bescherming van persoonsgegevens die door hem worden verwerkt. Tekat Op basigi;Varrnot&vanwijziging - 1. De verantwoordelijke Stelt het College onverwijld in ken/Us van i een inbreuk o • de beveiliging, bedoeld in artik el 13, die rn_ab naderige jie vcier d e,b e

r ....

n --

sc h ermin •

- —

1 De nieuwe formulering werpt een hogere drempel op voor melding laan de toezichthouder: het is met meer voldoende dat "redelijkerwijs kan worden aangenomen dat [de inbreull leidt tot een nadelige gevolgen heeft". I . De nieuwe formulering creeert het risico dat inbreuken pas aan de tbezichthouder en aan de betrokkenen worden gemeld op het moment dat de ernstige gevolge l l n (zoals publicatie van voorgedaan. Een groot deel van de toegevoegde waarde van de mel idplicht gaat op die manier verloren. Teksfwetsvoorstel 4. De kennisgeving aan het College omvat tevens een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen. Tekst op basis van wijiiging:, t 4. De kennisgeving aan het Colle e omvat tevens een beschri'ving van d e gevol en voor verwerkte perao_onsgmex. en de maatregelen

T

die de verantwoordelijke heeft getroffen of I De nieuwe formulering wekt de indruk dat uitsluitend nog de gecohstateerde gevolgen van de inbreuk in de kennisgeving aan het College hoeven te worden opgen I omen, en met meer de . I vermoedelijke gevolgen. Het risico dat inbreuken pas aan de toench thouder en aan de betrokkenen worden gemeld op het moment dat zich daadwerkehjk ernstige gevolgen hebben voorgedaan wordt daardoor vergroot. Verder is het voor de bescherming van de verwerkte persoonsgegel7ens van essentieel belang dat verantwoordelijken na een inbreuk vaststellen tot welke gevolgen cleze kan leiden en waar BU I LD 3

.„7

111111111111111N COLLEGEIBESCHERMING1PERSOONSGEGEVENS

CF.) \

DATUM 20 februari 2014 ONS KENMERK mogelijk maatregelen treffen om de betrokkenen tegen deze gevolgen te beschermen. De'nieuwe formuler-ing gaat bier volledig aan voorbij. Tekst weisvoorstel

6. De kennisgeving aan de betrokkene is met vereist indien de verantwoordelijke gepaste tedmische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft versleuteld zijn of anderszins onbegrijpelijk zijn gemaakt voor eenieder die geen recht heeft op kennisname van de gegevens.

Tekst op basis van itOtairan wijziging

6. va .1/4

}1.!=eeivte

n t=eli la* passenc144

tweeds d za I.b leder geval nig

.

assm indien de verantwoordelijke

I technische bewail ermingsmaatregelen, ■ heeft genomen

waardoor de • - rsoonsge • evens -aie

het betreft

begnipeli*krontoegankelij xi]

voor eenieder die geen recht heeft op kennisname van de gegevens. 1

Door de nieuwe formulering wordt de meldplicht aan de toezichthouder ingeperkt: als voldaan wordt aan de in lid 6 gestelde voorwaarden — wat in eerste instarttie er beoordelirtg is aan de verantwoordelijke zelf — vervalt met alleen de meldplicht aan betrokkene, maar ook de meldplicht I aan de toezichthouder. Dit betekent dat de toezichthouder

met

meeri in de gelegenheid wordt gesteld om te beoordelen of de getroffen technische beschermingsmaatregelen afdoende zijn. Door de nieuwe formulering ontstaat er ook een verschil met de metdplicht in de Tw: onder de 'small& meldplicht moeten alle datalekken aan de toezidithouder wo I rden gemeld, en geldt er in de

bier

bedoelde gevallen alleen een uitzondering op de meldplidtt a I an de betrokkene. De stand van de techniek ontwikkelt zich voortdurend, en eenmaal gelekte persoonsgegevens kunnen door toepassing van de nieuwste technologische middelen alsnog begrijpelijk en toegankelijk worden. Nog afgezien daarvan leert de ervaring dat ver I arttwoordelijken lang met altijd een realistisch beeld hebben van de mate waarin technische bes I chertningsmaatregelen de verwerkte persoonsgegevens daadwerkelijk onbegrijpelijk en ontoeg I anIcelijk maken voor eenieder die geen recht heeft op kennisname. De nieuwe formulering van het zesde lid leidt daarom tot een reeel risico dat inbreuken met ernstige nadelige gevcilgen voor de bescherming van de verwerkte persoonsgegevens noch aan de toezichthouder, noch aan de betrokkene worden gemeld. Tekst Wetsvoorstel

8. De verantwoordelijke houdt een overzicht bij van alle inbreuken. Dit overzicht bevat in elk geval de feiten en de gegevens, bedoeld in het derde lid, alsmede de tekst van de kennisgeving aan de betrokkene.

Tekst op basis van notayan,wgziguig

- [Lid vervalt.]

Het vervallen van de wettelijke verplichting tot het bijhouden van een overzicht van alle inbreuken maakt het voor het CBP moeilijker om inzicht te krijgen ill de

met

gemelde datalekken. Ook de stimulans voor verantwoordelijken om alert te zijn op inbreu l geven van de gevolgen die deze kunnen hebben voor de persoonlije levenssfeer van de betrokkenen verdwijnt op deze manier. ken en zich rekenschap te Bu

■

D 4

C r!

11111111111111111

COLLEGE 1BESCHERMINGIPERSOON5GEGEVEN5 DATUM 20 februari 2014 ONS KENMERK

Overige opmerkingen

1-- In aanvulling op het bovenstaand wijst het CBP u nog op het volgendl e. In het wetsvookiel geldt voor de bestuurlijke boete die het CBP kan opleggen voor de overtreclI ing van de meldplicht een maximum van 450.000

euro.

V&J heeft toegelicht waarom daar in he onderhavige wetsvoorstel voor is gekozen. Het CBP gaat er zoals besproken wel van uit dat, bij de uitbreiding van de boetebevoegdheden van het CBP, dit maximum in lijn zal worden gebracht met de oveFige boetebevoegdheden van het CBP. 5

III

IIIIIIIIIIII

COLLEGEIBESCHERMINVERSOONSGEGEVENS

Postbus 93374, 2509 AJ Den Haag

PostbkIL 5

9 5 Afz. 2509 AJ 93374 • •.•• qt .1 " . . % NEDERLAND 20.02.2014 "fa; NotSet RN 821902

r CD 4.14. r\I ("N I Gezien SCailkan ier V&J

21 FEB. 2014

FIMIlaagla nden VEB. 2°4 o ntvangen