33 662 Wijziging van de Wet bescherming persoonsgegevens en de Telecommunicatiewet in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens (meldplicht datalekken)

Nr. 8 NADER VERSLAG

Vastgesteld 19 mei 2014

De vaste commissie voor Veiligheid en Justitie, belast met het voorbereidend onderzoek van dit voorstel van wet, heeft de eer als volgt nader verslag uit te brengen. De vaste commissie voor Veiligheid en Justitie heeft na kennisneming van de nota naar aanleiding van het verslag behoefte nadere vragen en opmerkingen aan de regering voor te leggen. Onder het voorbehoud dat de hierin gestelde vragen en gemaakte opmerkingen voldoende zullen zijn beantwoord, acht de commissie de openbare behandeling van het voorstel van wet genoegzaam voorbereid.

Inhoudsopgave

 
       

1

Strekking van het wetsvoorstel

2

2.

Beleidsmatige achtergrond

3

 

2.1

Verhouding met voorstel Algemene verordening gegevensbescherming

3

3.

Algemene aspecten van de meldplicht

4

 

3.1

Inbreuk op beveiligingsmaatregelen

4

 

3.2

Beslismodel meldplicht Wbp

5

 

3.3

Verhouding verantwoordelijke voor de verwerking en bewerker

5

4.

Verhouding tot andere rechtsgebieden

6

 

4.1

Verhouding tot specifieke meldplicht op grond van de Telecommunicatiewet

6

 

4.2

Samenwerking Cbp-ACM

6

 

4.3

Verhouding tot meldplicht incidenten Wet op het financieel toezicht

6

5.

Sanctionering

6

6.

Administratieve lasten, nalevingskosten, bestuurlijke lasten, effecten voor de rechtspraak en financiële effecten

7

 

6.1

Administratieve lasten en nalevingskosten

7

 

6.2

Bestuurlijke lasten en effecten voor de rechtspraak

7

 

6.3

Gevolgen voor de rijksbegroting

8

1. Strekking van het wetsvoorstel

Met een positieve grondhouding hebben de leden van de VVD-fractie kennisgenomen van het gewijzigde wetsvoorstel tot wijziging van de Wet bescherming persoonsgegevens en de Telecommunicatiewet in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens (meldplicht datalekken) (hierna: het wetsvoorstel). Het wetsvoorstel betreft een wijziging van het oorspronkelijke wetsvoorstel meldplicht datalekken ten behoeve waarvan reeds een verslag is vastgesteld. Dat wetsvoorstel voorziet in een plicht voor verantwoordelijken voor de verwerking van persoonsgegevens om datalekken die persoonsgegevens betreffen te melden aan het College bescherming persoonsgegevens (Cbp). Het Cbp kan een boete opleggen als wordt nagelaten aan deze verplichting te voldoen. Het doel van de meldplicht is tweeledig. Allereerst wordt met de meldplicht voorkomen dat datalekken die persoonsgegevens betreffen zich voordoen. Indien deze zich toch voordoen, worden de gevolgen voor betrokkenen zo veel mogelijk beperkt.

Thans is bij nota van wijziging een aantal wijzigingen op het wetsvoorstel geformuleerd. In grote lijnen komen deze wijzigingen erop neer dat er alleen een meldplicht bestaat indien de inbreuken ernstige nadelige gevolgen hebben voor de bescherming van de verwerkte persoonsgegevens en voorts dat er geen meldplicht bestaat indien de gelekte gegevens op passende wijze zijn beschermd. Voornoemde leden kunnen zich grotendeels vinden in de voorgestelde wijzigingen. Zij hebben reeds eerder benadrukt dat het creëren van hoge administratieve lasten niet het zwaartepunt zou mogen vormen in het wetsvoorstel. Met de voorgestelde wijziging zijn deze leden te dien aanzien grotendeels gerustgesteld. Wel hebben zij nog enige vragen en opmerkingen.

De leden van de VVD-fractie zijn ten aanzien van de uitwerking en invulling van de gehanteerde criteria in het nu voorgestelde artikel 34a, eerste en tweede lid, van mening dat het goed zou zijn als hierop enige democratische controle kan worden uitgeoefend. De voorkeur van deze leden met betrekking tot de uitwerking en invulling van het hiervoor genoemde artikel gaat dan ook niet uit naar door het Cbp vast te stellen richtsnoeren. Het komt hun logischer voor om dit in een Algemene Maatregel van Bestuur concreet uit te werken, hetgeen overigens ook het Cbp heeft voorgesteld.

De leden van de PvdA-fractie hebben met enige reserve kennisgenomen van de nota van wijziging bij het oorspronkelijke wetsvoorstel. Deze leden vinden het belangrijk dat er een effectieve meldplicht komt voor datalekken, nu de afhankelijkheid van digitale communicatiemiddelen steeds groter wordt. Zij zijn bang dat met deze nota van wijziging het aantal meldingen zodanig sterk teruggedrongen wordt dat aan een effectieve meldplicht afbreuk gedaan wordt.

De leden van de SP-fractie hebben met interesse kennisgenomen van de nota naar aanleiding van het verslag. Zij zijn echter teleurgesteld over de voorgestelde wijzigingen. Zoals in het verslag gemeld, zijn zij groot voorstander van een meldplicht. Voor betrokkenen van wie persoonsgegevens worden gelekt, is het van groot belang hiervan op de hoogte te worden gesteld, zodat zij ook zelf maatregelen kunnen nemen om zich te beschermen tegen inbreuken op hun privacy, openbaarmaking van persoonsgegevens of identiteitsfraude.

De leden van de CDA-fractie hebben met belangstelling kennisgenomen van de nota naar aanleiding van het verslag. Zij hebben in het verslag vragen gesteld over het onderscheid tussen oneigenlijk gebruik dan wel misbruik en ongeoorloofde toegang, de bewoording «onverwijld», de clausulering van de meldplicht, de samenwerking tussen het Cbp en de Autoriteit Consument & Markt (ACM), de maximale hoogte van het boetebedrag en de reactie van de Europese Commissie. De regering heeft op deze vragen afdoende antwoord gegeven. Voornoemde leden zijn verheugd dat de regering naar aanleiding van hun opmerkingen over de vage bewoordingen ten aanzien van de meldplicht, deze in een nota van wijziging heeft geherformuleerd. Hierdoor hoeven niet alle inbreuken op de beveiliging van persoonsgegevens bij de toezichthouder te worden gemeld, maar alleen die inbreuken die ernstige nadelige gevolgen hebben voor de bescherming van de verwerkte persoonsgegevens. Deze leden kunnen zich in de voorgestelde wijzigingen vinden. Zij hebben nog enkele vragen. De eerste daarvan is of en zo ja, op welke wijze aan de introductie van de meldplicht een publiekscampagne vooraf zal gaan. Niet alleen kan die van belang zijn voor bedrijven en ondernemingen die aangespoord worden om hun beveiliging op orde te krijgen, maar ook is die wenselijk omdat burgers rekening moeten houden met het feit dat zij in de toekomst (met regelmaat) meldingen kunnen ontvangen over (digitale) inbreuken op hun privacy en de betekenis die zij daaraan moeten toekennen. Graag vernemen deze leden de ideeën van de regering hierover.

De leden van de PVV-fractie hebben kennisgenomen van het gewijzigde wetsvoorstel. Zij hebben nog enkele vragen. Zij willen graag van de regering weten wat haar de visie is op de beveiliging van persoonsgegevens, en welke rol zij voor zichzelf weggelegd ziet op dit gebied. Hoe zorgt zij ervoor dat bedrijven serieuze datalekken daadwerkelijk bij de overheid melden, zonder dat de overheid misbruik zal maken van hun gegevens?

De leden van de D66-fractie hebben met verbazing kennisgenomen van de nota van wijziging inzake het wetsvoorstel.

De leden van de ChristenUnie-fractie hebben kennisgenomen van de voorgestelde wijziging van het oorspronkelijke wetsvoorstel.

2. Beleidsmatige achtergrond

2.1 Verhouding met voorstel Algemene verordening gegevensbescherming

De leden van de CDA-fractie vragen ten aanzien van de voorgestelde Algemene verordening gegevensbescherming (COM (2012)11 def) of de inbreng van de regering in Europa gericht zal zijn op de realisering van de geclausuleerde meldplicht zoals die nu onderhavig wetsvoorstel wordt gecreëerd.

De leden van de D66-fractie merken op dat ook in Europa wordt gewerkt aan een meldplicht voor datalekken in het kader van Europese privacywetgeving. Zij constateren dat de regering er met het onderhavige wetsvoorstel voor kiest om de bescherming van persoonsgegevens af te zwakken. Hoe verhoudt de voorgestelde inperking van de meldplicht zich tot de voorstellen van de Europese Commissie en de onderhandelingen in de Raad over de herziening van het Europese wettelijke gegevensbeschermingskader?

De leden van de ChristenUnie-fractie lezen dat beoogd is te verduidelijken dat alleen datalekken met ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens aan het Cbp dienen te worden gemeld. Hoe verhoudt deze wijziging zich tot de voorgestelde tekst in de Europese Algemene verordening gegevensbescherming, die naar alle waarschijnlijkheid volgend jaar van kracht wordt?

3. Algemene aspecten van de meldplicht

3.1 Inbreuk op beveiligingsmaatregelen

De leden van de PvdA-fractie zijn bang dat de nieuwe formulering van de meldplicht in de nota van wijziging ervoor zorgt dat het tijdstip van een melding naar achteren verplaatst wordt, doordat niet meteen bij het ontdekken van een datalek duidelijk is of er daadwerkelijk nadelige gevolgen zijn. Zij vragen bezorgd of de regering deze mogelijkheid ook ziet. Deelt zij de mening dat hiermee de preventieve werking van de meldplicht afgezwakt wordt? Ook maken deze leden zich zorgen over de hogere drempel bij de meldingen, omdat mogelijk voor de betrokken organisatie niet altijd in te schatten is hoe groot het risico voor de bescherming van persoonsgegevens daadwerkelijk is. Graag horen deze leden de mening van de regering hierover.

De leden van de PvdA-fractie maken zich ook zorgen over het schrappen van de meldplicht aan het Cbp indien de gegevens versleuteld zijn. Kan de regering ingaan op de mogelijkheid dat de gegevens door nieuwe technieken alsnog ontsleuteld worden, waardoor een overzicht bij het Cbp van ontvreemde versleutelde datasets van meerwaarde kan zijn voor de bescherming van persoonsgegevens?

De leden van de SP-fractie vinden de voorgestelde wijziging, waardoor slechts ernstige nadelige gevolgen voor de betrokkenen gemeld moeten worden, een ongunstige ontwikkeling. Een betrokkene wordt immers niet meer op de hoogte gesteld als er slechts sprake is van nadelige gevolgen die niet als ernstig worden bestempeld. Ziet de regering dit niet als een uitholling van de meldplicht?

Het is voornoemde leden nog niet geheel duidelijk welk fundamenteel bezwaar de regering heeft tegen een verruiming van de reikwijdte van de meldplicht, waardoor de meldplicht kan gelden voor iedere vorm van ongeoorloofde toegang tot persoonsgegevens. Wat is er immers onredelijk aan als het ongeoorloofd toegang verschaffen tot persoonsgegevens aan de betrokkene gemeld dient te worden?

De aan het woord zijnde leden delen de vrees van het Cbp dat de wettelijke drempel voor het melden van inbreuken dermate hoog komt te liggen dat in de praktijk alleen nog datalekken zullen worden gemeld waarvan de ernstig nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens volstrekt evident zijn. Dat in combinatie met de voorgestelde wijziging van artikel 34a, vierde lid, Wet bescherming persoonsgegevens (Wbp) zal er verder toe leiden dat verantwoordelijken inbreuken pas zullen melden op het moment dat zich daadwerkelijk ernstige nadelige gevolgen hebben voorgedaan. Deze leden ontvangen hier graag een reactie op van de regering.

De leden van de PVV-fractie vragen wat kan worden verstaan onder «ernstige nadelige gevolgen» zoals in artikel 14, eerste lid Wbp wordt voorgesteld. Kan de regering dit met vijf voorbeelden onderbouwen?

De leden van de D66-fractie merken op dat de regering voorstelt om het oorspronkelijke wetsvoorstel te wijzigen en de meldplicht af te zwakken tot die gevallen waarin sprake is van «ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens». Met deze wijziging ziet de meldplicht alleen nog op die datalekken waarbij de ernstige nadelige gevolgen zich reeds hebben voorgedaan en niet meer op de gevallen waarbij de «aanmerkelijke kans bestaat dat sprake zal zijn van ernstige nadelige gevolgen». Deze leden merken op dat in de aanmerkelijke kans een redelijke aanleiding lag besloten voor een melding aan de toezichthouder. Zij zijn dan ook verbaasd over de onderhavige inperking, nu deze tot gevolg heeft dat de bescherming van burgers tegen de aanmerkelijke kans van inbreuken op hun persoonsgegevens wordt afgezwakt en er alleen nog zal worden ingegrepen indien het spreekwoordelijke kalf verdronken is. Hoe verhoudt die keuze zich tot de doelstelling van het wetsvoorstel om de gevolgen van een datalek voor betrokkenen zo veel mogelijk te beperken? Op welke wijze genieten burgers dan nog bescherming tegen inbreuken op hun gegevens indien meldingen alleen nog plaats zullen vinden indien de schade al berokkend is?

De leden van de ChristenUnie-fractie verzoeken om een nadere invulling van het begrip «ernstig nadelige gevolgen» in artikel I, onderdeel A, onderdelen 1, 2 en 4. Zij vragen tevens om nader toe te lichten welke lekken in het oorspronkelijke wetsvoorstel wel gemeld dienden te worden en in dit gewijzigde wetsvoorstel niet meer onder de meldplicht vallen.

Voornoemde leden constateren dat het Cbp vreest dat met deze wijziging een onnodig hoge drempel wordt opgeworpen. Waarom deelt de regering deze vrees niet? Hoe wordt de doelmatigheid van de voorgestelde bepaling gecontroleerd? Deze leden vragen tevens waarom het moment van de meldplicht is verschoven tot het moment dat de ernstige gevolgen zich daadwerkelijk hebben voorgedaan.

3.2 Beslismodel meldplicht Wbp

De leden van de VVD-fractie constateren dat in de nota naar aanleiding van het verslag een beslismodel is opgenomen. Daaruit blijkt dat het mogelijk is dat zich een situatie voordoet die wel aan het Cbp moet worden gemeld maar niet aan de betrokkenen. De omgekeerde situatie, waarbij wel aan de betrokkenen maar niet aan het Cbp moet worden gemeld, kan zich volgens dit beslismodel niet voordoen. Voornoemde leden staat het voor dat de kern van het wetsvoorstel is dat ondernemingen bij geconstateerde datalekken die waarschijnlijk ongunstige gevolgen zullen hebben voor de persoonlijke levenssfeer van de betrokkene, hun verantwoordelijkheid nemen en dit lek zo spoedig mogelijk melden bij degenen wier persoonsgegevens zijn gelekt. Uit het beslismodel volgt echter dat, indien wordt voldaan aan de nieuw geformuleerde criteria, altijd moet worden gemeld bij het Cbp. Kan de regering nog eens nader ingaan op de vraag waarom is gekozen voor deze volgordelijkheid? Ligt het niet meer voor de hand dat ondernemingen melden aan de betrokkenen in het geval van een inbreuk die waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene? Wat is de reden van het feit dat de toezichthouder, het Cbp, nu in de positie wordt gebracht om als eerste kennis te nemen van een brede range aan datalekken en daarover te oordelen? Het Cbp krijgt aldus de beschikking over veel en verstrekkende informatie betreffende datalekken. De aan het woord zijnde leden zien meerwaarde in een systeem waarin het Cbp voornoemde informatie en kennis die het opdoet over nieuwe voorbeelden van datalekken en adequate beveiliging van persoonsgegevens, deelt met ondernemingen. Op basis daarvan zouden die ondernemingen hun digitale beveiliging nader kunnen aanpassen. Hoe kijkt de regering hiertegen aan?

3.3 Verhouding verantwoordelijke voor de verwerking en bewerker

De leden van de D66-fractie merken op dat de wettelijke verplichting tot het bijhouden van een overzicht van alle inbreuken vervalt. Welke stimulans resteert dan voor verantwoordelijken van dataverwerkingen om alert te zijn op inbreuken en zich rekenschap te geven van de gevolgen voor de persoonlijke levenssfeer van betrokkenen?

Deze leden hebben kennisgenomen van de kritiek van het Cbp van februari 2014 op de voorgenomen wijziging van het wetsvoorstel. Het Cbp meent dat de nieuwe formulering van artikel 34, zesde lid, Wbp risicovol is. Indien de meldplicht vervalt in het geval de verantwoordelijke meent dat sprake is van passende technische beschermingsmaatregelen, leidt dat tot een reëel risico dat inbreuken met ernstige nadelige gevolgen voor de bescherming van persoonsgegevens noch aan de toezichthouder, noch aan de betrokkenen worden gemeld. Hoe beschouwt de regering die kritiek en hoe denkt zij dat risico te kunnen ondervangen?

4. Verhouding tot andere rechtsgebieden

4.1 Verhouding tot specifieke meldplicht op grond van de Telecommunicatiewet

De leden van de D66-fractie lezen in de nota van wijziging dat de meldplicht volgens de regering ruimer lijkt te zijn dan in de Telecommunicatiewet, terwijl dat niet is beoogd. Wat wordt bedoeld met «lijkt»? Op grond waarvan meent de regering nu dat de onderhavige meldplicht afwijkt van de Telecommunicatiewet? Zijn er nieuwe feiten die tot deze constatering hebben geleid?

4.2 Samenwerking Cbp-ACM

De leden van de D66-fractie merken op dat de aangewezen toezichthouder, het Cpb, naast een repressieve taak ook een preventieve rol benadrukt. In hoeverre ziet de regering bij de inperking van de meldplicht datalekken naast een repressieve rol nog ruimte voor preventief optreden door de toezichthouder?

De leden van de ChristenUnie-fractie vragen hoe en door wie wordt beoordeeld of technische beschermende maatregelen na het constateren van een datalek afdoende zijn. Welke rol heeft het Cbp in dezen? Op welke wijze zal dit wetsvoorstel een preventieve werking hebben en welke preventieve taken zijn in dit opzicht voor het Cbp zijn weggelegd?

4.3 Verhouding tot meldplicht incidenten Wet op het financieel toezicht

De leden van de SP-fractie hebben geen duidelijk antwoord ontvangen op de vraag op welke wijze de belangen van betrokkenen en belanghebbenden verzekerd zijn als een financiële onderneming een datalek geheim mag en kan houden.

5. Sanctionering

De leden van de VVD-fractie zijn van mening dat het goed zou zijn om het voorgestelde artikel 66, tweede lid, Wbp en het artikel 15.4, vierde lid, Telecommunicatiewet nader uit te werken. Dit geldt temeer nu het Cbp in deze artikelen de mogelijkheid wordt geboden om ondernemingen een forse boete op te leggen. Met name de vraag wanneer het Cbp hiertoe zal overgaan, heeft volgens deze leden nadere invulling nodig. Daarnaast menen zij dat het goed zou zijn om meer duidelijkheid te bieden over de hoogte van de op te leggen boetes. Wordt hier een staffel gehanteerd? Welke situatie geeft aanleiding om het maximale boetebedrag van € 450.000 op te leggen? Ook ten aanzien van deze kwestie zijn deze leden van mening dat het absoluut de voorkeur heeft om op de uitwerking en invulling van deze discretionaire bevoegdheid enige democratische controle uit te kunnen oefenen. Hoe kijkt de regering aan tegen het voorstel om deze kwesties bij Algemene Maatregel van Bestuur te regelen?

6. Administratieve lasten, nalevingskosten, bestuurlijke lasten, effecten voor de rechtspraak en financiële effecten

6.1 Administratieve lasten en nalevingskosten

De leden van de PvdA-fractie vinden een goede afweging tussen de administratieve lasten van de meldplicht en de te bereiken effecten uiteraard belangrijk. Daarom kunnen zij zich voorstellen dat er voorkomen wordt dat bagatelzaken gemeld moeten worden. Graag horen zij of er andere manieren overwogen zijn om de melding van bagatelzaken te voorkomen en of de regering hiervoor mogelijkheden ziet binnen de oorspronkelijke wettekst.

Volledigheidshalve vragen de leden van de CDA-fractie of de regering bij de beraming van de nalevingskosten nog steeds is uitgegaan van één melding per bedrijf per jaar. Daarvan kan worden gesteld dat dit een niet geheel realistische inschatting is. Immers, bij een serieus datalak zullen doorgaans gegevens van meerdere personen lekken. Deze leden wijzen op de commentaren van VNO-NCW op het wetsvoorstel waaruit blijkt dat het aantal betrokkenen bij de grotere lekken bij Nederlandse websites varieerde van 824 tot 750.000 personen per onderneming. Graag vernemen deze leden een verduidelijking op dit punt.

De leden van de D66-fractie lezen in de nota van wijziging dat de wijzigingen een beter evenwicht beogen tussen de bescherming van persoonsgegevens en de administratieve lasten en nalevingskosten. Alhoewel deze leden begrijpen dat uitvoerbaarheid een belangrijk aspect is van dit wetsvoorstel, zien zij geen onderbouwing van deze stellingname van de regering. Op grond waarvan meent de regering dat het oorspronkelijke wetsvoorstel niet langer in verhouding staat tot de administratieve lasten en nalevingskosten? Hoe verhoudt deze wijziging van het wetsvoorstel zich tot de constatering in de memorie van toelichting dat de berekende kosten en lasten slechts berusten op «aannames» en niet op harde feiten? Beschikt de regering over nieuwe meer feitelijke informatie op grond waarvan zij meent dat deze afzwakking van de meldplicht datalekken nodig is?

Voornoemde leden merken op dat de regering niet uitsluit dat bedrijven die in goede beveiliging investeren, de risico’s op een datalek kunnen verkleinen, zoals zij bij het oorspronkelijke voorstel naar voren brachten. In hoeverre zou dat de geschatte lasten en kosten voor bedrijven kunnen verzachten? Heeft de regering andere mogelijkheden bezien om de meldingen van bagatelzaken tegen te gaan en daarmee ook de lasten en kosten voor het bedrijfsleven te verzachten? Zo ja, wat waren haar bevindingen en waarom zijn die opties niet vermeld dan wel overwogen?

6.2 Bestuurlijke lasten en effecten voor de rechtspraak

De leden van de CDA-fractie vragen de regering of haar opmerking in de nota naar aanleiding van het verslag dat voor het Cbp een houdbaar financieel kader is geschapen het voornemen van de regering weergeeft om het Cbp geen extra financiële middelen meer toe te kennen of dat zij die mogelijkheid openhoudt als gevolg van het nauwlettend monitoren na inwerkingtreding van onderhavig wetsvoorstel. Staat de regering een maximumbedrag voor ogen voor het totaal aan nalevingskosten dat voor rekening komt van ondernemingen, dit samenhangend met het risico dat het aantal meldingen door bedrijven hoger uitvalt dan het aantal waar de regering thans van uitgaat? Ten aanzien van de monitoring vragen voornoemde leden naar de frequentie hiervan na inwerkingtreding. Wordt hierbij aangesloten bij de geldende evaluatiebepaling van de Wbp?

6.3 Gevolgen voor de rijksbegroting

Het baart de leden van de CDA-fractie zorgen dat onduidelijk is hoe de lastenstijging die uit onderhavig wetsvoorstel voortvloeit, moet worden gecompenseerd in het totaal van de toe-en afname van lasten binnen de begroting van het Ministerie Veiligheid en Justitie. De regering geeft aan dat niet exact kan worden aangegeven hoe dat zal gebeuren, maar dat de Kamer hiervan op de hoogte wordt gesteld middels de gebruikelijke rapportages. Deelt de regering de opvatting dat het gezien de hoogte van de administratieve lasten en nalevingskosten gewenst is hier nu al meer inzicht in te verschaffen? Deze leden zouden het op prijs stellen als de regering de ideeën kenbaar wil maken die zij daarover heeft ontwikkeld sinds het uitbrengen van onderhavig wetsvoorstel op 17 juni 2013.

De voorzitter van de commissie, Jadnanansing

Adjunct-griffier van de commissie, Koerselman

Naar boven