Er is al veel geschreven over de ophanden zijnde meldingsplicht bij datalekken per 1 januari 2016. Zeker nu het College Bescherming Persoonsgegevens (CBP) eindelijk een concept van de langverwachte richtsnoeren hierover heeft gepubliceerd. Het is echter niet de enige meldingsplicht, en het gaat hier niet bij blijven. Tijd om een en ander op een rijtje te zetten en in perspectief te plaatsen.
Om te beginnen de achtergrond van de huidige trend van toenemende meldingsplichten. Dat is een mengeling van consumenten- en privacybescherming, maar ook van toenemende politieke zorgen over hoe beveiligingsincidenten de openbare orde kunnen aantasten. Als zodanig is het introduceren van meldingsplichten een instrument met (vaak) meerdere doelen. In de sfeer van de consumenten- en privacybescherming gaat het er vooral om een prikkel aan overheden en bedrijfsleven te geven om meer werk te maken van informatiebeveiliging en grip te krijgen op de verwerking van persoonsgegevens. Een meldingsplicht is dat zelf niet als zodanig, maar het feit dat extern opgebiecht moet worden de informatiebeveiligingszaken niet op orde te hebben (gehad) zou heilzaam kunnen zijn, zeker in combinatie met een boete in geval van niet-naleving. De problemen kunnen dan niet langer ontkend of gebagatelliseerd worden, zo is de gedachte.
Een ander doel is het voorkomen dat betrokkenen schade lijden die ze anders hadden kunnen voorkomen. Daarom is er in de meldplicht datalekken die per 1 januari a.s. (zie kader) van kracht wordt voor gekozen om bij voorzienbare schade voor derden een meldingsplicht naar dergelijke derden te scheppen.
Voor meldingsverplichtingen die verder reiken dan “alleen maar” datalekken geldt dat die vaak ingegeven zijn om te voorkomen dat toezichthouders of de overheid in het algemeen geen zicht hebben op wat er aan beveiligingsincidenten plaatsvindt die potentieel sector- of zelfs maatschappij-ontwrichtend zouden kunnen zijn. Te denken valt aan ernstige verstoringen in het betalingsverkeer, telecommunicatie- of andere kritieke infrastructuren. In het Haagse jargon intussen “cyber-incident” genoemd, wat een mooi archaïsche eufemisme is voor zoiets.
De trend is voorlopig nog die van transparantie, zowel naar overheden als naar derden die schade kunnen lijden door beveiligingsincidenten. Toch is op de langere termijn voorzienbaar dat er gesproken zal gaan worden van zorgplichten voor gebruikers van ICT en productaansprakelijkheid voor leveranciers van ICT-producten. ICT is te zeer verweven geraakt met van oudsher ICT-vrije producten dat hier geen debat over kan ontstaan. Het Volkswagen-schandaal betreft weliswaar geen (informatie)beveiligingsprobleem, maar illustreert wel dat we van software dezelfde integriteit (gaan) verwachten als van een fysiek product. Wat ook logisch is in een wereld die door software “opgegeten” wordt, om Marc Andreesen te parafraseren.
Bestaande en toekomstige sectorale meldingsplichten
Er gelden al meldingsverplichtingen in geval van (grote) incidenten op het terrein van informatiebeveiliging. Deze hebben allemaal een sectoraal karakter, dat wil zeggen, ze zijn van toepassing op specifieke (bedrijfs)sectoren: voor de telecommunicatiesector (voor zowel storingen, datalekken als opzettelijke aanvallen) en voor de financiële sector (vooral voor ‘grote incidenten’). In de nabije toekomst zullen meldingsverplichtingen waarschijnlijk gaan gelden voor identiteitsdienstverleners. Bij laatstgenoemde moet gedacht worden aan trusted-third-parties, zoals SSL-certificaatuitgevers. Men wil een herhaling van de Diginotar-affaire voorkomen. Hiervoor is een aparte Europese richtlijn in voorbereiding.
Meldingsplichten Telecommunicatiewet
Dit zijn om te beginnen de meldingsplichten uit de Telecommunicatiewet. Die zijn relatief het meest uitgebreid, wat niet verwonderlijk is in het licht van het belang van de telecommunicatiesector in dit opzicht. Het gaat om drie verschillende smaken:
- een meldingsplicht bij datalekken van persoonsgegevens;
- een meldingsplicht bij inbreuken op de informatiebeveiliging of de continuïteit van de diensten (eigenlijk een aanval dus);
- een meldingsplicht bij storingen.
Oorspronkelijk ging het bij alle drie deze meldingsplichten om de plicht te melden bij de telecommunicatietoezichthouder Autoriteit Consument en Mededinging (ACM). Met de invoering van de algemene meldingsplicht voor datalekken van persoonsgegevens per 1 januari 2016 is dit de Autoriteit Bescherming Persoonsgegevens (voorheen het College Bescherming Persoonsgegevens) geworden die dergelijke meldingen weer door leidt naar de ACM. In de praktijk lijkt deze, huidige meldingsplicht op zichzelf aardig te functioneren. Het enige conflict wat hier tot nog toe over gespeeld heeft is dat tussen KPN en ACM over de informatiebeveiliging van KPN; KPN heeft daarin onder andere het standpunt ingenomen dat haar zorgplicht met betrekking tot informatiebeveiliging van de persoonsgegevens van haar klanten een ‘communicerend vat’ is met de mate waarin zij aan haar meldplichten heeft voldaan en dat de ACM KPN daarom niet had mogen beboeten voor het niet op orde hebben van de informatiebeveiliging.
Financiële sector: Wet Financieel toezicht
De Wet Financieel toezicht (Wft) en lagere regelgeving die daaruit voortvloeit kent een veelheid van meldingsplichten richting toezichthouders Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB). In deze regelgeving is ook wat omfloerst een meldingsplicht vermeld die bijna niet los van informatiebeveiliging gezien kan worden, namelijk die van “incidenten”, waarbij een incident gedefinieerd is als:
- gedraging of gebeurtenis die een ernstig gevaar vormt voor de integere uitoefening van het bedrijf van de desbetreffende financiële onderneming.
Die meldingsplicht kan zich uit hoofde van de zorgplicht van een financiële onderneming uitstrekken tot een melding aan klanten van de financiële onderneming. Ook hiervoor geldt: vergeleken met de nieuwe meldingsplicht in de Wet bescherming persoonsgegevens een relatief omfloerste meldplicht.
Generieke meldingsplichten nu en in de toekomst
Meldingsplichten die voor (vrijwel) iedere sector gelden zijn nieuw in Nederland. De verandering in de Wet bescherming persoonsgegevens per 1 januari 2016 is voor vrijwel iedereen geldend. De enige uitzonderingen zijn opsporings-, inlichtingen- en veiligheidsdiensten die onder hun eigen regimes werken, maar ook voor die groep is wetgeving in voorbereiding.
Deze nieuwe meldingsplicht uit de Wet bescherming persoonsgegevens omvat meerdere meldingsplichten:
- een meldingsplicht bij (vermoedelijke) datalekken;
- een meldingsplicht bij het verloren gaan van persoonsgegevens.
Beide meldingsplichten gaan primair over een meldingsplicht bij de Autoriteit Bescherming Persoonsgegevens (ABP, nu nog het College Bescherming Persoonsgegevens die per 1 januari 2016 deze andere naam krijgt). In geval van datalekken geldt dat als het voorzienbaar is dat het datalek in kwestie negatieve gevolgen kan hebben voor de personen waar de gegevens betrekking op hebben, deze betrokkenen ook ingelicht moeten worden. Bij melding bij de ABP moet gemotiveerd aangegeven worden waarom die melding aan de betrokkenen achterwege kan blijven, bijvoorbeeld in het geval de gegevens (hoogwaardig) versleuteld waren. Het CBP heeft (concept)-richtsnoeren gepubliceerd over deze meldplicht die het lezen zeker waard zijn, maar ook nog wel vragen openlaten. Bijvoorbeeld de vraag hoe snel er gemeld moet worden. Daar wordt weinig meer over gezegd dan dat dit ‘onverwijld’ moet zijn, maar dat dit nog wel ruimte laat voor onderzoek om een onnodige melding te voorkomen. Wel wordt in de (concept)-richtsnoeren gesproken van maximaal twee werkdagen voor op zijn minst een gedeeltelijke melding, die desnoods weer ingetrokken kan worden.
De samenloop van deze meldplicht met de al bestaande meldplichten is geregeld. De meldplicht voor telecommunicatiebedrijven wordt gesplitst, waarbij zij bij het ABP niet hoeven te melden wat ze al bij de ACM gemeld hebben en vice versa. Voor bedrijven in de financiële sector geldt dat zij een datalek van persoonsgegevens of het verloren gaan van persoonsgegevens bij hun gewone toezichthouders moeten melden (de AFM of DNB) en dus niet bij de ABP.
NIS-Richtlijn
Op Europees niveau is de NIS-Richtlijn in voorbereiding, waarbij NIS voor “Network and Information Security” staat. Deze omvat onder meer een meldplicht voor partijen die zorgdragen voor zogenaamde “kritieke infrastructuren” en belangrijke “dienstverleners van de informatiemaatschappij”. Daarbij zullen “grote incidenten” gemeld moeten worden aan nationale meldpunten, waarbij in Nederland het Nationaal Cyber Security Centrum (NCSC) de voor de hand liggende partij zal zijn. Overigens is er in Nederland al wetgeving in voorbereiding die naar vewachting vooruit zal lopen op deze NIS-Richtlijn. Omzetting van de (nog niet uitgekristalliseerde) Europese Richtlijn naar Nederlandse wetgeving zal naar verwachting veel sneller plaatsvinden, Omdat het meer een aanpassing van wetgeving dan nieuwe wetgeving zal opleveren . Het NCSC heeft al een loket voor meldingen op vrijwillige basis. De wettelijke verankering in Nederland van een dergelijke meldplicht, vooruitlopend op deze NIS-richtlijn, lijkt echter wat stilgevallen na een consultatie over een concept-wetsvoorstel in 2012 waar vooral negatieve reacties op waren gekomen vanuit het bedrijfsleven. Vreemd genoeg zullen hardware- en softwareleveranciers naar alle waarschijnlijkheid buiten de werking van deze meldplicht komen te vallen.
Dat betekent overigens niet dat hardware- en softwareleveranciers, in tegenstelling tot gebruikers en online dienstverleners, volledig buiten schot van regels op dit terrein zullen blijven. Voor hen geldt dat er gedacht wordt aan meer handhaving van productaansprakelijkheidsregels. Met name wordt voor softwaremakers gedacht aan de introductie van productaansprakelijkheden, juist ook voor beveiliging. Voor dit laatste geldt echter dat er nog niet een begin van Europese regelgeving is, ook al lijkt de politieke bereidheid om software anders te behandelen dan andere producten met rasse schreden af te nemen, onder meer door het Volkswagen-schandaal.
De conclusie is ook dat we voorlopig meer en uitgebreidere meldingsplichten krijgen bij incidenten op het terrein van informatiebeveiliging en dat het voorzienbaar is dat het niet langer bij meldingsplichten blijft, maar dat er aansprakelijkheden zullen ontstaan. Maar dat is de langere termijn.