Aanhangsel van de Handelingen
| Datum publicatie | Organisatie | Vergaderjaar | Nummer | Datum ontvangst |
|---|---|---|---|---|
| Tweede Kamer der Staten-Generaal | 2010-2011 | 165 |
Authentieke versie (PDF)
Informatie
Printen
Delen
Vragen van het lid Gesthuizen (SP) aan de ministers van Justitie en van Economische Zaken over het invoeren van een meldplicht voor datalekken (ingezonden 9 september 2010).
Antwoord van minister Hirsch Ballin (Justitie), mede namens de minister van Economische Zaken (ontvangen 7 oktober 2010) Zie ook Aanhangsel Handelingen, vergaderjaar 2010–2011, nr. 38.
Vraag 1
Kent u het bericht «Creditcardgegevens dj Armin van Buuren gestolen»?1 Wat vindt u er van dat het slachtoffer door de onderzoekers moest worden ingelicht en dat de financiële instelling die de creditcard heeft versterkt dat kennelijk nog niet gedaan had?
Antwoord 1
Ja, ik ken het bericht. De precieze feiten en omstandigheden van dit geval zijn mij evenwel niet bekend. In het algemeen geldt dat de eerste verantwoordelijkheid voor het inlichten over datalekken ligt bij de gegevensbeheerder.
Vraag 2, 5
Deelt u de mening dat de klant altijd geïnformeerd zou moeten worden over het feit dat zijn of haar persoonsgegevens zijn gestolen door het bedrijf dat deze gegevens beheert? Wanneer denkt u de door u toegezegde meldplicht voor datalekken in te kunnen voeren?2en3
Is het waar dat de aangekondigde wijziging van de Telecommunicatiewet slechts regelt dat er een meldplicht gaat gelden voor de Internet Service Providers? Deelt u de mening dat in geval van verlies van persoonsgegevens uit datasystemen deze meldplicht ook zou moeten gelden voor bedrijven (zoals financiële instellingen) die persoonsgegevens beheren? Zo nee, waarom neet? In welke wet zou dat kunnen worden geregeld en op welke wijze?
Antwoord 2, 5
Ik ben van oordeel dat alle verantwoordelijkenvoor de verwerking van persoonsgegevens, waaronder ook bedrijven zoals financiële instellingen, hun wettelijke verplichting tot het treffen van technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking dienen na te komen. Ik ben ook van oordeel dat een expliciete wettelijke verplichting voor hen om in ieder geval de betrokkenen en mogelijk ook de toezichthouder in te lichten over de door hen geconstateerde inbreuken op deze beveiligingsmaatregelen, een nuttige ondersteuning van de door de beveiligingsverplichting beschermde belangen betekent.
Ik streef ernaar de door mij reeds in het algemeen overleg met de vaste kamercommissie voor Justitie op 3 februari 2010 (Kamerstukken II 2009/10, 31 051, nr. 7) toegezegde wettelijke verankering van deze aanvullende verplichting in de Wet bescherming persoonsgegevens volgend jaar aan de Kamer voor te leggen. De wijze waarop de meldplicht voor geconstateerde doorbraken van de beveiliging van persoonsgegevens moet worden vormgegeven, zal nog nader moeten worden bepaald.
Dit laat onverlet dat een invoering van een specifieke meldplicht voor inbreuken op de beveiliging van persoonsgegevens in de elektronische communicatiesector, neergelegd in richtlijn nr. 2009/136/EG, door Nederland naar verwachting in mei volgend jaar zal worden geïmplementeerd.
De wijziging van de Telecommunicatiewet die daarvoor nodig is, zal nog dit najaar aan uw Kamer worden aangeboden. Het is inderdaad zo dat deze wijziging van de Telecommunicatiewet alleen betrekking heeft op beveiligingsinbreuken die gepaard gaan met verlies van persoonsgegevens door de invoering van een meldplicht die alleen geldt voor aanbieders van openbare elektronische communicatiediensten. Dat vloeit voort uit de beperking van de reikwijdte van de hierboven bedoelde richtlijn.
Vraag 3
Deelt u de mening dat een breed geldende meldplicht ook zal bevorderen dat bedrijven dergelijke gevoelige gegevens nog beter zullen beveiligen?
Antwoord 3
Een breed geldende meldplicht is geen garantie voor een betere beveiliging, maar kan de optimalisering van beveiliging wel stimuleren. Dit neemt niet weg dat instellingen, organisaties en bedrijven die gevoelige gegevens beheren, los van welke eventuele meldplicht ook, gehouden zijn hun systemen tegen inbreuken van buitenaf adequaat te beveiligen.
Vraag 4
Op welke wijze zal de meldplicht voor datalekken voor de overheid en voor de private sector worden geregeld? Bent u inmiddels nagegaan «of er aanvullende wetgeving nodig is of convenanten of een combinatie daarvan»?2
Antwoord 4
De wijze waarop de meldplicht voor geconstateerde doorbraken van de beveiliging van persoonsgegevens moet worden vormgegeven, zal nog nader moeten worden bepaald. Overleg met het bedrijfsleven, het College bescherming persoonsgegevens en de Onafhankelijke post- en telecommunicatieautoriteit zal daarvoor ook noodzakelijk zijn.
XNoot
1http://www.automatiseringgids.nl/it-in-bedrijf/beheer/2010/36/creditcardgegevens-dj-armin-van-buuren-gestolen.aspx
Directe link
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/ah-tk-20102011-165.html