Het doet mij genoegen dat de leden van de VVD-fractie met belangstelling hebben kennisgenomen van het wetsvoorstel. Met deze leden ben ik van mening dat dit wetsvoorstel een belangrijke bijdrage kan leveren aan het verbeteren van de informatiebeveiliging van veel organisaties die onder de Wet bescherming persoonsgegevens (hierna: Wbp) vallen, alsook aan het verbeteren van de bescherming van de persoonlijke levenssfeer van betrokkenen.

Het verheugt mij dat de leden van de PvdA-fractie met instemming hebben kennisgenomen van het wetsvoorstel. Zij kunnen zich vinden in de aan het Cbp geboden mogelijkheid om een bestuurlijke boete op te leggen bij het niet melden van datalekken. Ook vinden deze leden het wijs dat het opleggen van een dergelijke boete in de meeste gevallen voorafgegaan moet worden door een (bindende) aanwijzing. Zeker omdat – en hier hebben de meeste vragen betrekking op – niet geheel klip-en-klaar is wanneer een datalek aan het Cbp en/of betrokkenen moet worden gemeld en wanneer niet.

In de brief van 8 april 2009 aan de Voorzitter van de Tweede Kamer der Staten-Generaal (Kamerstukken II 2008/09, 26 643, nr. 138) hebben de Minister van Binnenlandse Zaken en Koninkrijksrelaties en de Staatssecretaris van Economische Zaken verslag gedaan van de uitkomsten van het onderzoek naar de ervaringen met een dergelijke (al dan niet vrijwillige) meldplicht in een aantal andere, Europese en niet-Europese, landen en naar de mogelijke vormgeving van een meldplicht bij verlies van privacygevoelige gegevens in Nederland.

Uit het onderzoek bleek onder andere dat er onder de respondenten in het algemeen veel belang werd gehecht aan een in EU-verband geharmoniseerde meldplicht. Door de invoering van een EU-brede meldplicht zouden bedrijven gestimuleerd worden om de beveiliging van privacygevoelige gegevens beter te regelen en op een gezonde wijze te concurreren. Inmiddels was op EU-niveau een (sectorale) meldplicht datalekken voor aanbieders van openbare elektronische communicatiediensten in voorbereiding en gingen stemmen op deze te verbreden naar alle diensten van de informatiemaatschappij (zoals webwinkels, banken etc.). Omdat een goede privacybescherming van cruciaal belang is voor het vertrouwen in diensten die via internet worden aangeboden gaf het kabinet in de bovenbedoelde brief aan dit voorstel te ondersteunen en, na afronding van de besluitvorming op Europees niveau (herziening e-privacyrichtlijn), over te gaan tot de (nationale) invoering van een (brede) meldplicht ingeval van verlies van persoonsgegevens uit informatiesystemen. Het is mede hierdoor dat de invoering van een dergelijke meldplicht voor datalekken in het regeerakkoord van het kabinet-Rutte I van 30 september 2010 is opgenomen. In vervolg hierop heeft eind 2011 de (internet)consultatie plaatsgevonden over een wetsvoorstel tot wijziging van de Wbp dat twee maatregelen bevatte, te weten de meldplicht datalekken en een verruiming van het gebruik van camerabeelden van strafbare feiten ten behoeve van de ondersteuning van de rechtshandhaving. Naar aanleiding van het advies van de Afdeling advisering van de Raad van State van 14 september 2012 is medio 2013 alleen de meldplicht voor datalekken bij de Tweede Kamer ingediend. Overeenkomstig het regeerakkoord van het kabinet-Rutte II van 29 oktober 2012 is het wetsvoorstel bij tweede nota van wijziging aangevuld met een regeling voor de uitbreiding van de bestuurlijke boetebevoegdheid van het College bescherming persoonsgegevens (hierna: Cbp). Daarnaast heeft de Minister van Veiligheid en Justitie onlangs, samen met de Minister van Binnenlandse Zaken en Koninkrijksrelaties, een nieuwe (internet)consultatie gestart met een wetsvoorstel tot wijziging van de Wbp met het oog op de verwerking van camerabeelden door bedrijven en particulieren ter ondersteuning van de opsporing.

Terugkijkend op deze ontwikkelingen meen ik dat de motie-Gerkens/Van Dam een belangrijke katalysator voor de meldplicht datalekken is geweest, maar dat het zoeken naar een goede vormgeving van een wettelijke meldplicht, in samenhang met andere wetgevingsvoornemens, geruime tijd in beslag heeft genomen.

De leden van de SP-fractie en de GroenLinks-fractie merken op dat zelfs goedwillende ondernemers, die maatregelen treffen, gehackt kunnen worden. Zij zijn van mening dat een boete dan niet het meest belangrijke is, maar het informeren van de betrokkenen wel.

Ik ben het volmondig met deze leden eens, dat het inlichten van betrokkenen belangrijk is als een ondernemer is gehackt en de aard van de gestolen persoonsgegevens van dien aard is dat misbruik moet worden gevreesd. Of in deze situatie aan de ondernemer een bestuurlijke boete kan worden opgelegd, is een geheel andere vraag. Indien de ondernemer de door hem verwerkte persoonsgegevens adequaat heeft beveiligd, zie ik geen grond voor het opleggen van een bestuurlijke boete door het Cbp. Zoals onder andere in de nota naar aanleiding van het verslag (nr. 6) is opgemerkt, kan een datalek zich ook voordoen als sprake is van een adequate beveiliging. Dat wil zeggen dat de beveiligingsmaatregelen rekening houden met de stand van de techniek en de kosten van de tenuitvoerlegging, gelet op de risico’s die de verwerking en de aard van de te beschermen persoonsgegevens met zich brengen. Een boete voor overtreding van de beveiligingsverplichting van artikel 13 Wbp is dan niet aan de orde. Zou de ondernemer nalaten om de betrokkene in te lichten terwijl er wel ongunstige gevolgen voor diens persoonlijke levenssfeer zijn te duchten, dan kan het Cbp uiteraard wel een bestuurlijke boete opleggen.

Vandaag de dag hebben mensen echter ontelbare wachtwoorden op ontelbare websites. Het is ondoenlijk om die allemaal te wijzigen, laat staan om te weten welke sites het allemaal zijn. Sommige zijn van jaren geleden, sommige hebben wel betaalgegevens, andere niet. Soms is het een inschrijving op een nieuwsbrief. Kortom, al zou men op alle websites het wachtwoord wijzigen, dan weet men nog niet of dit gehackte websites betreffen. Het NCSC zou hebben aangegeven dat ze de namen van de websites niet wil geven in verband met reputatieschade, aldus deze leden. Een betrokkene moet dus maar hopen dat de website hem of haar waarschuwt, maar de website hoeft dat niet te doen. Resultaat is dat er niets gebeurt. Dat is naar de stellige overtuiging van de leden van de SP-fractie en de GroenLinks-fractie precies waar het probleem zit en ook blijft.

Is de regering het met deze leden eens dat hiermee het grootste probleem van datalekken nog niet ondervangen is? Wetende dat geen enkele website ooit honderd procent veilig kan zijn, is dan de angst voor reputatieschade niet onterecht, en sterker nog, is de bescherming van de goede naam niet in strijd met de bescherming van de privacy en veiligheid op internet?

Graag reageer ik op de vragen van de leden van de SP-fractie en GroenLinks-fractie naar aanleiding van de omvangrijke diefstal van inloggegevens op het internet in de zomer van 2014. De gestolen gegevens kwamen vervolgens in handen van een derde partij, het Amerikaanse bedrijf Hold Security. Het NCSC heeft bij Hold Security alleen de voor de response-acties benodigde en specifiek voor Nederland relevante gegevens opgevraagd. Het NCSC heeft van Hold Security een tweetal datasets ontvangen. Een dataset van circa 5600 – mogelijk nog – kwetsbare websites binnen het.nl-domein en een dataset van circa 1,3 miljoen emailadressen die eindigen op.nl.

Zoals deze leden aangeven, zijn de eigenaren van de e-mailadressen via hun providers voor het overgrote deel bereikt. Ook werden alle eigenaren van getroffen websites via partner SIDN (Stichting Domeinregistratie Nederland) bereikt. Eigenaren kregen op deze manier de tijd om, indien nodig, de aanwezige kwetsbaarheid op hun website te verhelpen. SIDN vroeg domeineigenaren daarnaast om hun gebruikers op gepaste wijze te informeren. Vanuit het NCSC is de keuze gemaakt om in aanvulling daarop niet ook de lijst met domeinnamen te publiceren om schade als gevolg daarvan zoveel mogelijk te beperken. Te dien aanzien is door het NCSC een – legitieme – afweging gemaakt tussen enerzijds het privacybelang van de getroffen personen en anderzijds het belang om schade voor de betrokken domeineigenaren zoals toegenomen kwetsbaarheid voor verdere aanvallen bij openbaarmaking, te voorkomen. Daarbij heeft laatstgenoemd belang zwaarder gewogen. Anders dan deze leden stellen, ging het bij deze afweging niet zozeer om de bescherming van de goede naam en reputatie van de betrokken domeineigenaren, maar veeleer om de vrees dat een openbare publicatie door het NCSC de schade voor domeineigenaren, en mogelijk daardoor ook voor betrokken personen, eerder zou vergroten dan beperken. Deze leden merken ook terecht op dat een honderd procent veilige website niet bestaat. Daarom is het van groot belang dat partijen passende maatregelen (blijven) treffen om gegevens, en in het bijzonder persoonsgegevens, te beveiligen. In de brief aan de Voorzitter van de Tweede Kamer der Staten-Generaal van 13 oktober 2014 inzake de Hold-casus is door de Minister van Veiligheid en Justitie toegezegd dat voorts zal worden verkend hoe de ervaringen van deze casus kunnen worden geborgd in een te ontwikkelen structurele voorziening met de daarbij behorende waarborgen (Kamerstukken II 2014/15, 26 643, nr. 328).

Tegelijkertijd meent de regering dat het onderhavige wetsvoorstel met een meldplicht bij datalekken, een belangrijke verbetering voor de gebruikers van een website gaat brengen. Op grond van het voorgestelde artikel 34a Wbp, zullen de eigenaren van een website, wanneer zij aangaande hun website, al dan niet door tussenkomst van het NCSC van een diefstal van inloggegevens op de hoogte raken, in elk geval het Cbp moeten informeren en daarnaast ook de getroffen personen, indien waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van deze personen te verwachten zijn.

De leden van de SP-fractie en de GroenLinks-fractie vragen of de regering het met hen eens is dat idealiter bedrijven hun klanten zelf actief informeren bij een mogelijk datalek. Op deze wijze kan de klant zelf stappen ondernemen om zijn wachtwoord te wijzigen. Is de regering het met deze leden eens dat dit zeker moet gebeuren bij ieder lek waar ook financiële gegevens zijn buitgemaakt? Zo ja, op welke wijze wil de regering zich hiervoor inzetten? De leden zouden zich kunnen voorstellen dat een dergelijke informatieplicht eerst op basis van zelfregulering kan worden geïntroduceerd. Graag een reactie van de regering.

Ik kan de eerste vraag van deze leden bevestigend beantwoorden. De in dit wetsvoorstel voorgestelde meldplicht strekt ertoe bedrijven en (overheids)organisaties hun verantwoordelijkheid te laten nemen indien zich bij door hen verwerkte persoonsgegevens een datalek voordoet. Als hiervan waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van de klant zijn te verwachten, moet deze actief worden ingelicht. Ook moet de verantwoordelijke de klant informeren over maatregelen waarmee de ongunstige gevolgen kunnen worden beperkt, zoals het wijzigen van zijn wachtwoord.

Hoewel de onderhandelingen over deze documenten nog in volle gang zijn – de regering sprak in de nota naar aanleiding van het verslag de verwachting uit dat deze in 2015 zal tot stand komen en in werking treden – zouden de leden van de CDA-fractie graag vernemen welke aanpassingen met betrekking tot de onderwerpen, die in dit wetsvoorstel aan de orde zijn, naar aanleiding van deze Europese regelgeving mogen worden verwacht.

Ik kan deze leden meedelen dat de nieuwe EU-regelgeving gegevensbescherming naar de huidige verwachting niet in 2015, doch hopelijk in 2016 tot stand zal komen. Daarna is er een implementatietermijn van twee jaar om met nationale wetgeving aan de verplichtingen van de verordening en de richtlijn te voldoen en om strijdige wetgeving in te trekken. Nu de verordening het grootste deel van materiële normstelling met betrekking tot de verwerking van persoonsgegevens gaat bevatten, waaronder een meldplicht voor datalekken, en daarnaast vele tientallen bepalingen wijdt aan de opzet van de handhaving en de sanctionering, zal de Wet bescherming persoonsgegevens moeten worden ingetrokken. In plaats daarvan zal er een Uitvoeringswet Algemene verordening gegevensbescherming moeten komen waarin onder andere een onafhankelijke toezichthoudende autoriteit wordt ingesteld. Die wet zal naar verwachting ook een regeling kunnen bevatten van de bindende aanwijzing als tussenstap bij het opleggen van een bestuurlijke boete, zoals in dit wetsvoorstel wordt voorgesteld (artikel 66).

Zoals de Minister van Veiligheid van Justitie in de brief van 23 juni 2014 naar aanleiding van de evaluatie van de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens (Kamerstukken II 2013/14, 33 842, nr. 2) heeft aangegeven zal de komst van de richtlijn een goed moment zijn om de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens in hun onderling verband en samenhang te herzien. Daarbij zal ook worden overwogen om ze samen te voegen tot één wet als dat dienstig zou zijn voor de noodzakelijke samenhang en afstemming.

In het voorgestelde artikel 34a, vijfde lid, wordt bepaald dat de kennisgeving aan betrokkenen van datalekken op zodanige wijze wordt gedaan dat een behoorlijke en zorgvuldige informatievoorziening is gewaarborgd. De leden van de VVD-fractie vragen de regering om voorbeelden te geven wanneer wel en wanneer niet sprake is van zo'n behoorlijke en zorgvuldige informatievoorziening. Ook vernemen zij graag of de verantwoordelijke, als sprake is van tienduizenden of meer betrokkenen, kan volstaan met een algemene kennisgeving in verschillende media. Of moeten ook dan alle betrokkenen individueel worden geïnformeerd?

Het tweede lid van artikel 34a bevat een inspanningsverplichting voor de verantwoordelijke om de getroffen personen (zoals klanten, burgers of medewerkers) van het datalek op de hoogte te stellen. Het vijfde lid van artikel 34a geeft als algemene norm voor de wijze waarop de betrokkenen moeten worden geïnformeerd dat een behoorlijke en zorgvuldige informatievoorziening is gewaarborgd. Datzelfde lid geeft aan dat voor de beoordeling of daarvan in concrete gevallen sprake is, rekening moet worden gehouden met de aard van de inbreuk, de geconstateerde en de feitelijke gevolgen daarvan voor de verwerking van persoonsgegevens, de kring van betrokkenen en de kosten van tenuitvoerlegging. In veruit de meeste gevallen zal de verantwoordelijke over contactgegevens van de betrokkenen beschikken en kan betrokkene individueel worden geïnformeerd. Bij meer omvangrijke incidenten kan ook een combinatie van algemene en individuele informatievoorziening geschikt zijn, zoals een mededeling op de website van het bedrijf of de (overheids)organisatie, een individuele e-mail aan getroffen klanten of burgers en het instellen van een centraal contactpunt (e-mail en telefoonnummer). Het belangrijkste is, dat zoveel mogelijk betrokkenen worden bereikt en dat zij worden geïnformeerd over de door hem of haar zelf te treffen maatregelen om de gevolgen voor de persoonlijke levenssfeer zoveel mogelijk te beperken (vijfde lid). Met enkel een bericht in de media wordt dat doel naar mijn oordeel niet bereikt.1

Op grond van het achtste lid van artikel 34a is de verantwoordelijke verplicht om een overzicht bij te houden van iedere inbreuk die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Dient de verantwoordelijke een dergelijk overzicht ook openbaar te maken? En hoe lang dient een dergelijk overzicht bewaard te blijven? De leden van de VVD-fractie verzoeken de regering op deze vragen te reageren.

Het achtste lid van artikel 34a is het spiegelbeeld van het eerste lid waarin de meldplicht aan het Cbp is geregeld. Ingevolge het achtste lid moeten bepaalde gegevens van de melding aan het Cbp intern binnen het bedrijf of (overheids)organisatie worden geadministreerd, zodat daarvan een overzicht ontstaat. Het betreft de feiten en gegevens omtrent de aard van de inbreuk alsmede de tekst van de kennisgeving aan de betrokkene. Het wetsvoorstel bevat geen verplichting om het overzicht openbaar te maken en ook geen verplichte bewaartermijn, kan ik deze leden antwoorden. Het is aan het desbetreffende bedrijf of de (overheids)organisatie zelf om te bepalen hoe lang het overzicht bewaard blijft, voor welke doeleinden, en in welke vorm.

Het Cbp zal de meldingen vertrouwelijk behandelen, zo wordt in de memorie van toelichting aangegeven. Het Cbp is een zelfstandig bestuursorgaan en valt als zodanig onder de Wet openbaarheid van bestuur (Wob). Dit kan ondernemingen in een spagaat brengen. Melden zij een hack wel bij het Cbp, dan lopen zij mogelijk schade. Melden zij niet, dan krijgen ze mogelijk een boete opgelegd door het Cbp. Welke waarborgen biedt de Wob op dit punt, zo willen de leden van de VVD-fractie van de regering weten.

In de memorie van toelichting heeft de regering gewezen op het belang dat het Cbp, als onafhankelijke toezichthouder, met de bij de melding verstrekte gegevens in staat wordt gesteld om zich een beeld te vormen van het datalek en een oordeel te kunnen geven over getroffen maatregelen en de kennisgeving aan de betrokkene. Het Cbp moet zo nodig ook vertrouwelijk met de verantwoordelijke kunnen overleggen. Tegelijkertijd is er een algemeen belang van openbaarheid van overheidsinformatie, zoals belichaamd in de Wet openbaarheid van bestuur (Wob), die ook voor het Cbp geldt. Ondernemingen zouden volgens de leden van de VVD-fractie bevreesd zijn dat de bij de melding aan het Cbp verstrekte gegevens door het Cbp actief dan wel passief (Wob-verzoek) openbaar worden gemaakt. Dit zou tot schade aan reputatie of concurrentiepositie van de betrokken onderneming kunnen leiden.

Naar het oordeel van de regering hoeven ondernemingen niet voor zulke effecten te vrezen. De Wob biedt een goed niveau van bescherming van de verstrekte informatie. Ik wijs op de in de Wob opgenomen uitzonderingsgronden die stellen dat openbaarmaking van informatie achterwege blijft voor zover het vertrouwelijk aan de overheid meegedeelde bedrijfs- en fabricagegegevens betreft (artikel 10, eerste lid, onder c) en voor zover het belang van openbaarmaking niet opweegt tegen het belang om onevenredige benadeling van bij de aangelegenheid betrokken natuurlijke personen of rechtspersonen dan wel van derden te voorkomen (artikel 10, tweede lid, onder g).

Voor de volledigheid wijs ik er op dat ook andere weigeringsgronden van de Wob bij de meldplicht datalekken van belang kunnen zijn, zoals de veiligheid van de staat (artikel 10, eerste lid, onder b), het belang van opsporing en vervolging (artikel 10, tweede lid, onder c), het belang van inspectie, controle en toezicht door bestuursorganen (artikel 10, tweede lid, onder d) en de eerbiediging van de persoonlijke levenssfeer (artikel 10, eerste lid, onder d, en tweede lid, onder e).

Van een spagaat waarover deze leden spreken, is mijns inziens dan ook geen sprake. Ondernemingen hebben geen enkele reden om melding van een datalek aan het Cbp achterwege te laten. Doen zij dat wel, dan lopen ze inderdaad het risico een boete te krijgen. De meldplicht draagt bij aan het vertrouwen in de informatiemaatschappij hetgeen van groot belang is voor onze economie.

Dat die regelingen een veel specifiekere omschrijving geven van datalekken die voor melding in aanmerking komen dan de omschrijving die in het voorliggende wetsvoorstel wordt gehanteerd, zoals de leden van de PvdA-fractie stellen, kan ik niet onderschrijven. Ook de buitenlandse regelingen zullen afbakeningsvragen kennen en kunnen ruim of minder ruim worden uitgelegd. De in het voorliggende wetsvoorstel gehanteerde omschrijving is naar mijn mening eveneens voldoende afgebakend, zij het op een andere manier dan in Duitsland en Oostenrijk. Een meldingsplichtig datalek wordt in het wetsvoorstel als volgt omschreven: een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Bij deze omschrijving staat de ernst van de (potentiële) gevolgen van het datalek centraal. Bij de beoordeling van de impact van het datalek zijn van belang:

• • de aard en de omvang van het datalek;

• • de aard van de gelekte persoonsgegevens;

• • de mate waarin technische beschermingsmaatregelen zijn getroffen;

• • de gevolgen voor de persoonlijke levenssfeer van de getroffen personen.

In het wetsvoorstel is voor een benadering gekozen waarvan wordt verwacht dat alle normadressaten van de Wbp (van zzp’er tot multinational) ermee uit de voeten kunnen. Elke verantwoordelijke zal voor zijn eigen verwerkingen van persoonsgegevens en die waarvoor hij een bewerker inschakelt kunnen nagaan welke risico’s met de verwerking zijn gemoeid en wat de gevolgen van een datalek kunnen zijn. Deze analyses kunnen de input vormen voor een beleid binnen de organisatie met betrekking tot de afhandeling van een datalek. Het Cbp zal de te maken afwegingen ondersteunen door het opstellen van richtsnoeren (beleidsregels), zodat bedrijven en (overheids)organisaties een duidelijk beeld hebben, wanneer ze een datalek moeten melden en wanneer dat niet hoeft. De meldplicht doet uiteraard niet af aan de algemene beveiligingsverplichting van artikel 13 Wbp. Bedrijven en organisaties die in een goede beveiliging investeren zullen de risico’s op een datalek kunnen verkleinen, zoals hiervoor ook reeds is vermeld. Al met al verwacht ik dat de meldplicht, en de vertaling ervan naar de praktijk, geen problemen zal hoeven opleveren. Ik wijs hier ook op de meldplicht voor inbreuken op persoonsgegevens in de Telecommunicatiewet waarmee de Autoriteit Consument & Markt al drie jaar ervaring heeft opgedaan. Van die ervaringen zal bij de implementatie van de hier voorgestelde meldplicht uiteraard gebruik worden gemaakt.

De leden van de PvdA-fractie vragen voorts of de regering de verwachting reëel acht dat organisaties en instellingen als beleidslijn «better safe than sorry» zullen kiezen en vaker dan nodig is datalekken zullen melden. Als dat het geval is zou daar juist de situatie kunnen ontstaan die de regering wil voorkomen, zoals aangegeven in haar reactie op het voorstel van Bits of Freedom, namelijk dat te veel en te vaak overbodig wordt gemeld.

Ik deel de zorg van de aan het woord zijnde leden op dit punt niet. Met een goede implementatie van dit wetsvoorstel binnen bedrijven en organisaties, en richtsnoeren van het Cbp, verwacht ik geen «overcompliance». Ik acht iedere verantwoordelijke in staat om voor de eigen verwerkingen een inschatting te maken van meldingsplichtige en niet-meldingsplichtige datalekken, gelet op de aard van de inbreuk, de aard van de persoonsgegevens, de technische beschermingsmaatregelen en de potentiële nadelige gevolgen voor de persoonlijke levenssfeer van de betrokkenen.

In ditzelfde kader zouden de leden van de PvdA-fractie graag van de regering vernemen of hacken nu wel of niet tot melding moet leiden. In de memorie van toelichting zegt de regering dat het hacken van een ICT-systeem wel in de categorie te melden datalekken valt, maar het hacken uit de zienswijze van Bits of Freedom niet. Kan de regering aangeven hoe dit precies zit?

Graag voldoe ik aan het verzoek van deze leden. In de memorie van toelichting wordt het hacken (inbreken in digitale systemen) als voorbeeld gegeven van een «inbreuk op beveiligingsmaatregelen» waardoor ongeoorloofde toegang tot persoonsgegevens kan worden verkregen, met alle risico’s op misbruik of onrechtmatig gebruik van deze gegevens van dien. Gesteld wordt, in zijn algemeenheid, dat er bij hacken al snel aanleiding zal zijn om de meldplicht na te leven. Datzelfde geldt voor het aangifte doen bij de politie, aangezien hacken een strafbaar feit is (artikel 138ab WvSr). Bij het naleven van de meldplicht gaat het naast de aard van het incident vooral om de aard van de buitgemaakte of gelekte gegevens, de technische beschermingsmaatregelen en de mogelijke gevolgen voor de persoonlijke levenssfeer van de betrokkene(n). Of er in het concrete geval een melding bij het Cbp en betrokkene(n) moet worden gedaan, is uiteindelijk dan ook – altijd – afhankelijk van de omstandigheden van het geval.

Voor zover de memorie van toelichting een tegenstrijdigheid oproept tussen de visie van de regering en Bits of Freedom, merk ik het volgende op. In paragraaf 3.2.2. van de memorie van toelichting wordt het zoekraken of hacken van de ledenadministratie van een sportvereniging als voorbeeld genoemd van een datalek dat niet snel aanleiding zal geven tot een melding, aangezien de gevolgen van een dergelijk datalek doorgaans beperkt blijven en ook van de leden van een vereniging kan worden gevergd dat zij een zekere mate van risico aanvaarden. In de zienswijze van Bits of Freedom (29 februari 2012) wordt deze passage bekritiseerd omdat daarbij ten onrechte geen rekening wordt gehouden met een combinatie van gegevens (bijvoorbeeld de ledenlijst en de financiële gegevens van de vereniging, zodat een overzicht van betalingsachterstanden kan worden verkregen). Bovendien kan een verenigingslidmaatschap ook bijzondere of anderszins gevoelige persoonsgegevens kan bevatten, zoals het lidmaatschap van een bepaalde patiëntenvereniging. Het lekken van dergelijke gegevens kan wel degelijk ongunstige gevolgen voor de betrokken personen met zich brengen. Als dat het geval is, dan zal de meldplicht moeten worden nageleefd. Ik kan mij in dit opzicht dus geheel bij de zienswijze van Bits of Freedom aansluiten.

De leden van de PvdA-fractie merken op dat de meldplicht in de memorie van toelichting als een administratieve verplichting wordt opgevat. Hieruit spreekt volgens deze leden de suggestie dat de regering de beoordeling of gemeld moet worden opvat als een simpele, digitale beoordeling. Zij vragen of dit klopt of dat de regering deze suggestie wenst weg te nemen.

Ten tijde van het opstellen van de huidige Wbp (eind jaren negentig) werden alleen de bepalingen van administratief-juridische aard geschikt bevonden om door middel van een bestuurlijke boete te worden gehandhaafd. In lijn hiermee kan het Cbp op grond van de huidige Wbp de materiële normen alleen met herstelsancties (last onder dwangsom) afdwingen. Voor bijvoorbeeld de administratieve meldplicht van artikel 27 en 28 Wbp inzake voorgenomen verwerkingen bij het Cbp of bij de functionaris voor de gegevensbescherming, kon het Cbp wel een bestuurlijke boete opleggen. In de passage van de memorie van toelichting waar deze leden op doelen wordt mijns inziens ten onrechte de indruk gewekt dat de meldplicht datalekken een administratieve verplichting is. Ik ben met deze leden eens dat de meldplicht geen simpele, digitale verplichting is, maar dat deze als een materiële norm valt te kenschetsen. Voor de materiële (of: open) normen van de Wbp geldt dat het lex certa-beginsel bijzondere aandacht verdient, omdat deze normen een afweging van belangen vergen die pas in het concrete geval betekenis krijgen (zie o.a. paragraaf 4 van het advies van de Afdeling advisering van de Raad van State) en de overwegingen dienaangaande in het nader rapport en de tweede nota van wijziging (nrs. 9 en 10). Of een datalek aanleiding tot een melding moet zijn, moet aan de hand van de omstandigheden van het concrete geval worden beoordeeld. Ik heb hiervoor, in reactie op vragen van deze leden al aangegeven, welke omstandigheden hierbij een rol spelen.

De medepleger als bedoeld in artikel 5:1, tweede lid, van de Awb, is degene die naast de pleger, de overtreding pleegt. Een door de verantwoordelijke ingeschakelde bewerker zou onder omstandigheden een medepleger kunnen zijn. Bij het medeplegen moet sprake zijn van een voldoende nauwe en bewuste samenwerking bij het begaan van de overtreding, waarbij het aandeel van een medepleger van voldoende gewicht moet zijn (vgl. HR 2 december 2014, ECLI:NL:HR:3474).

Anders dan deze leden menen, gaat het bij medeplegen niet om gedragingen van feitelijk leidinggevenden en feitelijk opdrachtgevers. In de tweede nota van wijziging is allereerst vermeld dat gelet op het bepaalde in artikel 5:1, tweede lid, Awb zowel aan de verantwoordelijke als pleger van een overtreding van de Wbp een boete kan worden opgelegd, als aan de ingeschakelde bewerker indien deze kan worden aangemerkt als medepleger. Vervolgens wordt vermeld dat in verband met de invoering van de vierde tranche Awb in 2009 bij oplegging van een bestuurlijke boete aan een rechtspersoon wegens overtreding van de Wbp daarnaast of in plaats daarvan ook aan de feitelijk leidinggevende of feitelijk opdrachtgever, zoals bedoeld in artikel 51, tweede en derde lid, Wetboek van Strafrecht, een boete kan worden opgelegd.

Deze leden vragen zich voorts af, of een feitelijk leidinggevende en een verantwoordelijke in hun arbeidsovereenkomst kunnen vastleggen of anderszins overeenkomen dat in voorkomende gevallen de verantwoordelijke de feitelijke opdrachtgever of feitelijk leidinggevende compenseert ter waarde van de hoogte van de boete. Deze vraag laat zich, bij de huidige stand van de jurisprudentie, niet eenduidig beantwoorden. Artikel 3:40 BW vormt een begrenzing van de contractsvrijheid van partijen. Artikel 3:40, eerste lid, bepaalt dat een rechtshandeling die door inhoud of strekking in strijd is met de goede zeden of de openbare orde, nietig is. In aanmerking nemend dat de wetgever met een bestuurlijke boete beoogt dat de wetsovertreder die boete ook zelf in zijn eigen vermogen zal voelen (leedtoevoeging), onder meer als prikkel en afschrikking om in volgende aangelegenheden geen overtreding meer te begaan, lijkt het zeer wel voorstelbaar dat een contractuele afspraak als gevolg waarvan de boete wordt gedragen door een ander dan de persoon aan wie die is opgelegd, door de rechter in strijd met de openbare orde ex artikel 3:40 BW wordt geacht. In twee uitspraken van 16 december 2014 van het Gerechtshof ’s-Hertogenbosch heeft het Hof ambtshalve overwegingen van die strekking opgenomen, evenwel zonder hierover tot een inhoudelijk oordeel te komen (Gerechtshof ’s-Hertogenbosch 16 december 2014, Rechtspraak Arbeidsrecht 2015/34 en 2015/43). Tegelijkertijd is het de vraag of, in de context van de Wbp, categorisch – dus in alle gevallen waarin een norm wordt geschonden en als gevolg daarvan een bestuurlijke boete wordt opgelegd – kan worden gesteld dat een contractuele afspraak als gevolg waarvan de boete wordt gedragen door een ander dan de persoon aan wie die is opgelegd, ontoelaatbaar is. In voorkomende gevallen zal uiteindelijk de rechter hieromtrent duidelijkheid moeten verschaffen.

Naar verwachting zal het in de praktijk overigens niet vaak voorkomen dat bij overtreding van de Wbp een bestuurlijke wordt opgelegd aan een werknemer (de feitelijke opdrachtgever of de feitelijk leidinggevende). Zoals hiervoor al is toegelicht, zal de boete dan eerder worden opgelegd aan de verantwoordelijke (de rechtspersoon c.q. werkgever).

Ten aanzien van de hoogte van de boete als percentage van de omzet (maximaal 10 procent) vragen de leden van de PvdA-fractie zich af of het niet in geld maximeren van deze boete niet heel veel ruimte aan het Cbp geeft. En, zo willen deze leden weten, heeft de regering de consequenties van een dergelijke boete voor een bedrijf overwogen? Is de regering bereid een maximumbedrag vast te stellen teneinde onwenselijke consequenties te voorkomen?

Voor rechtspersonen wordt, net als in het strafrecht sinds 1 januari 2015 het geval is, een maximale geldboete mogelijk gemaakt, die boven het maximumbedrag van de zesde geldboetecategorie uitgaat (artikel 23, zevende lid, WvSr). Bedacht moet worden dat bij rechtspersonen de geldboete de enige hoofdstraf is. Verder speelt bij rechtspersonen, naast de ernst van het feit en het profijt, de draagkracht een belangrijke rol bij bepaling van de hoogte van geldboete – door de wetgever – waarmee een strafbaar feit maximaal kan worden bestraft. Ondernemingen beschikken over een, in verhouding tot natuurlijke personen, grote(re) draagkracht. Omdat de maximaal op te leggen geldboete voldoende afschrikwekkende werking moet hebben, wordt in de strafwetgeving rekening gehouden met de draagkracht van rechtspersonen. In navolging van het Wetboek van Strafrecht bepaalt artikel 66, tweede en vijfde lid (artikel IVb) dat indien dit in het kader van een passende bestraffing nodig is, in plaats van het maximum van de zesde geldboetecategorie, een geldboete kan worden opgelegd van ten hoogste tien procent van de jaaromzet van de rechtspersoon. Ik ben het met deze leden eens dat het procentuele, relatieve boetemaximum het Cbp de nodige ruimte geeft. Die ruimte is nodig, omdat Wbp-overtredingen ook door (zeer) grote internationale ondernemingen kunnen worden begaan. Aan de andere kant moet worden bedacht dat het relatieve boetemaximum ook in preventieve zin van belang is. Een absoluut maximum van € 810.000 zal voor kleine ondernemingen zeker afschrikwekkend werken, maar niet voor (zeer) grote ondernemingen. De regering acht het om die reden niet wenselijk om een absoluut boetemaximum vast te stellen, zoals deze leden vragen. De regering vertrouwt erop dat het Cbp in concrete gevallen naar een bij het concrete feit en bij de schuld en de draagkracht van de dader passende boete zal zoeken, overeenkomstig artikel 5:46, tweede lid, Awb. Tegen het boetebesluit staat bezwaar en beroep bij de bestuursrechter open.

De Afdeling advisering van de Raad van State (hierna: Afdeling) vroeg de regering of het instrument van (bestuurlijke) strafbaarstelling overwogen is. De regering reageerde daarop door te stellen dat dit instrument naast de bestuurlijke boete geen meerwaarde heeft en het systeem zou compliceren. Naar de mening van de aan het woord zijnde leden was de intentie van de Raad van State om te informeren naar de (bestuurlijke) strafbaarstelling in plaats van de bestuurlijke boete, niet ernaast. De leden van de PvdA-fractie verzoeken de regering deze vraag alsnog te beantwoorden.

De Afdeling merkte in haar advies over het voorstel op, dat niet werd gemotiveerd waarom, als het gaat om kleinere feiten, niet voor de bestuurlijke strafbeschikking is gekozen. Met de verwijzing naar «kleinere feiten» meende de regering dat de Afdeling een aparte plaats zou willen inruimen voor de bestuurlijke strafbeschikking, naast de bestuurlijke boete voor de zwaardere feiten. De keuze voor de mogelijkheid om voor overtreding van de materiële bepalingen van de Wbp een bestuurlijke boete te kunnen opleggen is echter vooral ingegeven door het systeem van de EU-verordening waarin de onafhankelijke toezichthouder de bevoegdheid krijgt om overtreding van de verordening met een bestuurlijke boete te bestraffen. Het is de vraag of de verordening ruimte zal laten voor de Nederlandse figuur van de bestuurlijke strafbeschikking. Het is niet gezegd dat een door de onafhankelijke toezichthouder (Cbp) op te leggen bestuurlijke strafbeschikking zich verdraagt met de onafhankelijkheid van de toezichthouder. Bestuursorganen die de bevoegdheid hebben om een bestuurlijke strafbeschikking uit te vaardigen, doen dit immers onder toezicht van en volgens richtlijnen vast te stellen door het College van procureurs-generaal (artikel 257b, tweede lid, WvSv).

De Afdeling heeft voorts de vraag opgeworpen of de bestuurlijke boete en niet strafbaarstelling het geëigende punitieve middel is. De leden van de PvdA-fractie vragen de regering om de belangrijkste argumenten voor deze principiële keuze kenbaar te maken.

Het voornaamste argument voor deze keuze is de veronderstelde effectiviteit van de bestuurlijke boete, als onderdeel van het (sanctie)instrumentarium van het Cbp. Het Cbp heeft in de afgelopen vijftien jaar de nodige ervaring opgedaan met het toezicht op de naleving en de bestuurlijke handhaving van de Wbp. Daarnaast dwingt feitelijk het toegroeien naar het systeem van de EU-verordening algemene gegevensbescherming tot een keuze voor bestuursrechtelijke handhaving. Op grond van de verordening wordt de onafhankelijke toezichthouder bevoegd om een bestuurlijke boete op te leggen bij overtreding van de verordening. Tot slot mag niet onvermeld blijven dat de Tweede Kamer met de motie-Recourt c.s. om uitbreiding van de boetebevoegdheid van het Cbp heeft gevraagd (Kamerstukken II 2011/12, 32 761, nr. 40). Zoals in paragraaf 5.5 van de toelichting bij de tweede nota van wijziging is aangegeven bevat het commune strafrecht voldoende aanknopingspunten voor de met opsporing en vervolging belaste instanties om tegen ernstig misbruik van persoonsgegevens op te treden, zoals bij identiteitsfraude.

De Afdeling heeft daarnaast op de mogelijkheid gewezen dat in de op handen zijnde Algemene verordening gegevensbescherming (COM(2012)11) bepaalde feiten wellicht niet in aanmerking komen voor een bestuurlijke boete. Hoewel de leden van de PvdA-fractie er begrip voor hebben dat de regering niet op de EU-verordening heeft gewacht voordat zij met eigen voorstellen kwam, zouden zij graag een beoordeling van de regering willen zien van de kans waar de Afdeling op doelt.

De Afdeling heeft in haar advies inderdaad aangegeven dat gelet op de verschillende ontwerpteksten die op het moment van advisering openbaar of bekend waren, de verordening voor bepaalde feiten mogelijk geen bestuurlijke boete mogelijk zou maken. Hoewel ik die kans klein acht – een geharmoniseerd systeem van door de nationale toezichthouders op te leggen bestuurlijke boetes is één van de kernelementen van de verordening – kan niet worden uitgesloten dat de uiteindelijke verordening ruimte zal laten voor andere sancties.

Artikel 34a is als algemeen abstracte norm geformuleerd. Vanwege het lex certa beginsel vragen de leden van de D66-fractie of de regering voorbeelden kan geven van inbreuken die in het concrete geval zullen vallen onder het toepassingsbereik van genoemd artikel, voorbeelden die betrekking hebben op inbreuken die leiden tot de aanzienlijke kans op ernstige nadelige gevolgen als ook voorbeelden die betrekking hebben op inbreuken die ernstige nadelige gevolgen tot gevolg hebben.

De leden van de D66-fractie vragen naar concrete voorbeelden die onder het bereik van de meldplicht vallen. Zoals ik hiervoor al heb aangegeven, in antwoord op vragen van de leden van de PvdA-fractie, is de beantwoording van de vraag of melding noodzakelijk is, altijd afhankelijk van de feitelijke omstandigheden van het geval. Dit neemt echter niet weg, dat er in zijn algemeenheid voorbeelden van datalekken kunnen worden gegeven die in de betreffende context tot melding aanleiding geven. Ik put hiervoor uit Opinie 03/2014 van de Artikel 29-Werkgroep van 25 maart 2014.2 De voorbeelden die in deze opinie worden beschreven en toegelicht hebben betrekking op diverse sectoren waarbij als leidraad de meldplicht op grond van de e-privacyrichtlijn (artikel 11.3a Telecommunicatie) is toegepast. Bij de voorbeelden 1 t/m 5 heeft de inbreuk nadelige gevolgen. Bij de voorbeelden 6 en 7 is er een aanzienlijke kans op nadelige gevolgen.

• 1. Vier laptops zijn gestolen bij een gezondheidscentrum voor kinderen. De laptops bevatten gevoelige gegevens over gezondheid en welzijn en andere persoonsgegevens van meer dan 2000 kinderen.

• 2. Bij een levensverzekeraar waren persoonsgegevens ongeoorloofd ingezien als gevolg van een kwetsbaarheid in een webapplicatie. Van 700 personen konden naam, adres en formulieren met medische gegevens worden ingezien.

• 3. Een medewerker van een internetprovider heeft zijn login/wachtwoordgegevens aan een derde partij gegeven die daardoor nagenoeg onbeperkt bij alle klantgegevens (meer dan 100.000) kon komen.

• 4. Een envelop met credit card betalingsgegevens van 800 personen was per ongeluk niet versnipperd, maar in een vuilnisbak gegooid. Een derde persoon haalde de gegevens uit de vuilniscontainer op straat en verstrekte ze aan andere personen.

• 5. De versleutelde laptop van een financieel adviseur is uit de auto gestolen. Financiële gegevens (hypotheken, salarissen, leningen) van 1000 personen waren betrokken. Hoewel het wachtwoord van de laptop niet gecompromitteerd is, was er geen back-up voorhanden.

• 6. Op de website van een telefoonbedrijf kunnen klanten inloggen en hun financiële gegevens en belgegevens kunnen inzien. Een derde partij heeft toegang gekregen tot de database met inlognamen en bijbehorende verhaspelde (onleesbaar gemaakte) wachtwoorden. Het is echter mogelijk dat bepaalde wachtwoorden achterhaald kunnen worden.

• 7. Een internetprovider biedt de gebruikers de mogelijkheid om details van hun account te zien, zoals onder andere historische zoekgegevens en vaak bezochte websites. Door een fout in de website had eenieder via een simpele truc de mogelijkheid om de accounts van andere gebruikers vrijelijk in te zien. Zonder een sluitende logging is hier niet vast te stellen of dat daadwerkelijk is gebeurd en welke gegevens dan zijn geraadpleegd.

De bindende aanwijzing is bedoeld om de vermoedelijke overtreder op het rechte pad te houden en om hem te dwingen de vermoedelijke inbreuk geheel of gedeeltelijk te herstellen. De leden van de D66-fractie vragen zich af of hier is voorzien in rechtsbescherming van de vermoedelijke overtreder. Kunnen de beschermingsbepalingen van de Awb onverkort worden toegepast in geval van bezwaar en beroep tegen een bindende aanwijzing?

De bindende aanwijzing is in het wetsvoorstel opgenomen in verband met het open karakter van de materiële normen van de Wbp en de handhaving ervan (mede) door middel van de bestraffende bestuurlijke boete (lex certa-beginsel). Het Cbp kan alleen een bindende aanwijzing opleggen in situaties waarin het een overtreding heeft geconstateerd (zie artikel 1, onderdeel q, Wbp). De bindende aanwijzing is geen bestuurlijke sanctie (vgl. artikel 5:2, tweede lid Awb), maar een op herstel gerichte, corrigerende maatregel. De bindende aanwijzing wordt bij beschikking in de zin van de Awb opgelegd. Tegen de beschikking staat op de normale wijze bezwaar en beroep op de bestuursrechter open, zo kan ik deze leden antwoorden.