Meldplicht dwingt tot betere beveiliging

Afbeelding: the sky just sprung a leak van Arden | Licentie: CC BY-SA

Met een wijziging van de Telecommunicatiewet wordt een meldplicht voor datalekken ingevoerd. Welke gevolgen heeft dat?

Jan-Jaap Oerlemans schrijft in het artikel Meldplicht datalekken op zijn website:

Op grond van het voorgestelde 11.3a in de gewijzigde Telecommunicatiewet […] moet een aanbieder van een openbare elektronische communicatiedienst betrokkenen informeren ‘indien de beveiliging wordt doorbroken en dit nadelige gevolgen heeft voor de privacy’. In lid 5 staat een belangrijke uitzondering waarin staat dat de kennisgeving aan de betrokkene achterwege kan blijven indien de communicatieaanbieder ‘naar het oordeel van het college gepaste technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft, versleuteld of anderszins onbegrijpelijk zijn voor een ieder die geen recht op toegang tot die gegevens’. Het versleutelen van gegevens kan een kennisgeving aan betrokkenen dus voorkomen, maar wel nadat de OPTA over elk incident zijn oordeel heeft geveld.

Daarnaast wordt in het wetsvoorstel – die overigens is opgesteld naar aanleiding van de implementatie van Europese regelgeving in ons nationale systeem – een artikel voorgesteld voor een meldplicht ‘bij veiligheidsinbreuken en het verlies van integriteit in het geval deze een belangrijk effect hebben gehad op de continuïteit van het netwerk of de daarover geleverde diensten’. Bij deze meldplicht staat het voorkomen van interruptie van het openbare elektronische communicatieverkeer en het onderbreken van openbare elektronische communicatiediensten voorop. De melding moet plaatsvinden bij de Minister van Economische Zaken (die het afhandelen ervan mogelijk delegeert aan het Agentschap Telecom).

Persoonlijk denk ik dat een algemene meldplicht een grotere druk legt op bedrijven en instellingen die gegevens verwerken, de gegevens goed te beveiligen met technische en organisatorische maatregelen. Het verwerken van persoonsgegevens brengt deze ook met verantwoordelijkheid met zich mee o.g.v. artikel 13 Wet bescherming persoonsgegevens. Kennisgeving van een datalek leidt tot reputatieschade en de desbetreffende bedrijven zullen dat willen voorkomen. Wellicht kan dat in de voorgestelde regeling voor de telecomwet door de gegevens te versleutelen. Wel zijn de administratieve kosten van een dergelijke regeling groot en heeft de regeling nogal wat voeten in de aarde. Nu worden drie verschillende meldplichten voorbereid en nagegaan moet worden of dit wel noodzakelijk en efficiënt is.