[column van 29 december 015, met vertraging geplaatst]
Van 2007 tot 2010 heb ik een overzicht bijgehouden van Nederlandse datalekken: gevallen waarin allerlei persoonlijke gegevens van derden op straat belandden. Brakke websites die grote hoeveelheden persoonsgegevens prijsgaven, psychiatrische dossiers die bij het oud papier werden gedumpt, paspoortkopieën die bij een veilingkantoor onbeveiligd online stonden.
Dat waren de uitgelekte datalekken – niemand had enig idee hoe vaak zoiets nu werkelijk gebeurde, en hoe zo’n kwestie werd afgehandeld. Stelde zo’n bedrijf de gedupeerden op de hoogte dat hun gegevens waren gelekt? Troffen ze maatregelen om herhaling te voorkomen? Dachten ze überhaupt na over deugdelijke databescherming?
De digitale burgerrechtenorganisatie Bits of Freedom nam het stokje over, en hield tot 2013 een Zwartboek Datalekken bij. Belangrijker: ze werkten noest aan een Meldplicht Datalekken, een wet die bedrijven en instellingen verplicht om datalekken meteen na ontdekking bij het College Bescherming Persoonsgegevens te melden, aangevuld met de eis dat de gedupeerden zo snel mogelijk op de hoogte worden gesteld dat hun gegevens waren gelekt. In Europees verband werd een lobby opgezet voor zo’n wet.
Het ging niet zonder slag of stoot, maar sinds afgelopen zaterdag is die wet van kracht. Het is bepaald geen papieren tijger. Lekken moeten binnen 72 uur na ontdekking worden gemeld, de getroffenen moeten terdege van de lekkage op de hoogte worden gesteld, er dienen maatregelen worden genomen om herhaling te voorkomen. Wie een datalek niet meldt, kan op fikse boetes rekenen: de maximale boete is 820.000 euro, of 10% van de netto jaaromzet. Daarnaast kunnen overtredingen van de Wbp, de wet bescherming persoonsgegevens (onzorgvuldige bewerking, onrechtmatig gebruik, gegevens te lang bewaren, etc.) nu flink worden gestraft, met boetes tot maximaal 500.000 euro.
Het doel van de Meldplicht Datalekken is uiteraard niet om het CBP – per 1 januari omgedoopt tot de Autoriteit Persoonsgegevens, de AP – rijk te maken, hoewel dat met goed toezicht en wat digitale recherche vermoedelijk een peuleschil zal zijn. Het regent immers nog steeds lekken.
Het voornaamste doel van de hele exercitie is bedrijven, instellingen en overheidsinstanties te dwingen tot een beter databeheer. Onzorgvuldige opslag, achteloos weggooien, niet toegestane bewerkingen uitvoeren, ongerechtige koppelingen maken, slordige beschermingsprocedures hanteren: dergelijke nonchalance kan een bedrijf of instantie voortaan lelijk opbreken.
Het enige dat ik jammer vind, is dat de AP de ontvangen meldingen niet openbaar maakt. De boetes zullen ze te zijner tijd publiceren, meldingen blijven geheim. Als consument heb ik daar liever weet van: zo’n instantie heeft namelijk een goede les geleerd.
Tijd voor een Witboek waarin gedupeerde klanten en burgers hun ontvangen waarschuwingen over datalekken inventariseren?
[Noot: Jacob Kohnstamm, voorzitter van het CPB /AP, meldde een week na intreding van de wet Meldplicht Datalekken dat zijn organsiatie al 20 meldingen had ontvangen.]