Wetsvoorstel meldplicht datalekken ter consultatie

Afbeelding: Lost in Thought van John Morgan | Licentie: CC BY

Het ministerie van Veiligheid en Justitie vraagt om reacties op haar wetsvoorstel voor een meldplicht van datalekken.

Eerder deze week publiceerde het ministerie het voorstel voor de wettekst en de toelichting. In het artikel Wetsvoorstel meldplicht datalekken. Eindelijk! reageerde Bits of Freedom:

Op grote lijnen is het een goed voorstel. We zien veel terug uit ons position paper (pdf, uit januari 2010) en onze inbreng bij de consultatie (pdf) van de Europese Comissie. Dat neemt niet weg dat er wel wat te verbeteren is, zo maakt een snelle analyse duidelijk.

  • Om nutteloze meldingen te voorkomen zijn er allerlei criteria opgenomen. Die criteria zijn nogal vaag en subjectief. Het voorgestelde wetsartikel begint met:

    “De verantwoordelijke stelt het [Cbp] onverwijld in kennis van een inbreuk op de maatregelen […] waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijk risico op verlies of onrechtmatige verwerking waarvan nadelige gevolgen voor de persoonsgegevens en de persoonlijke levenssfeer van de betrokkene zijn verbonden.”

    In de toelichting worden die begrippen enigszins uitgelegd. Daaruit blijkt dat het lek van de ledenadministratie van een sportvereniging niet hoeft te worden gemeld. Maar als er ook wachtwoorden zijn gelekt, dan wil je dat juist wél weten. Hoe onverstandig ook, sommige mensen gebruiken hetzelfde wachtwoord voor meerdere accounts. Dat moet dus beter.

  • Een meldplicht heeft alleen zin als de melding effectief is. Handige maatregelen kun je alleen maar nemen als je direct op de hoogte wordt gebracht. Een melding op de website van de organisatie, zoals in dit wetsvoorstel wordt genoemd, werkt natuurlijk niet. Het zou betekenen dat je voortdurend op de website van je vereniging moet kijken of er niet een melding van een datalek is toegevoegd. Nee, zo’n melding moet altijd zo direct en persoonlijk mogelijk zijn.

  • Een ander belangrijk punt is dat de meldingen aan het Cbp niet openbaar worden. Het is de bedoeling dat het Cbp in haar  jaarverslag slechts enkele totalen opneemt. Wij denken dat het beter is om dat wél een openbaar te maken. Alleen dan kunnen onderzoekers de lekken analyseren en iets zeggen over de soort datalekken en kunnen bedrijven van eerdere fouten leren en jouw gegevens direct beter beveiligen.