Handelingen Eerste Kamer, 2014-2015, vergaderingnummer 32, 10 en 12, Meldplicht datalekken.
Uit 12 Meldplicht datalekken: "Staatssecretaris Dijkhoff:
Mevrouw de voorzitter. Ik dank u en de andere leden dat u dit wetsvoorstel zo voortvarend hebt willen behandelen, en dat op een voor de senaat zo belangrijke en interessante dag.
De bescherming van de persoonsgegevens gaat de overheid aan het hart. Die gaat ook het kabinet aan het hart. Ik heb gemerkt dat die ook de Eerste Kamer aan het hart gaat. De Kamer ziet het belang in van een betere bescherming van de gegevens van personen, ook waar het gaat om de databescherming online. Het wetsvoorstel zoals het nu voorligt kent twee hoofdonderwerpen. Enerzijds is er die algemene meldplicht voor datalekken. Daarnaast is er sprake van een uitbreiding van de bevoegdheid van het CBP — dat gaat straks, als het wetsvoorstel is aanvaard, Autoriteit Persoonsgegevens heten — om bij overtreding een bestuurlijke boete op te leggen.
Over beide elementen is veel gezegd en geschreven. Dat is terecht, omdat het steeds zoeken is naar een balans tussen enerzijds de bepaaldheid van de wetgeving en anderzijds de reikwijdte van de bescherming van de persoonsgegevens van burgers. De nieuwe verplichtingen beogen de Autoriteit Persoonsgegevens, het huidige CBP, in staat te stellen om op te treden waar dat nodig is en, indien informatie op straat komt te liggen of mogelijk in verkeerde handen komt, zo snel mogelijk maatregelen te treffen om het lekken te beperken en de impact daarvan de verkleinen en te beperken.
De Kamer heeft hierover de nodige vragen gesteld. Ook schriftelijk is er al een uitgebreide wisseling van vragen en antwoorden geweest. Ik stel het op prijs om nu hier de vragen te beantwoorden, allereerst de vraag van mevrouw Ter Horst, die niet de validiteit van deze meldplicht in twijfel trok, maar zich wel afvroeg hoe het met al die andere meldplichten staat. Ik ga niet de rekensom herhalen die hierbij mogelijk is. Een aantal meldplichten bestaat en een aantal is in wording. Het aantal dat in wording is, vervangt bestaande. Het is zelfs zo dat deze meldplicht die in wording is, op termijn alweer zal worden vervangen door een andere die in wording is, namelijk op Europees niveau. Het is niet alleen maar cumulatief, maar ik kan het ook niet zo wegredeneren dat er maar drie overblijven; wij hebben straks gewoon een flink aantal meldplichten over. Dat heeft vooral te maken met een poging om toch enige differentiatie aan te brengen. Het gaat om de erkenning dat het wel uitmaakt of het de overheid zelf is, een justitiële dienst of de politie, of een net beginnende webwinkel. Wij leggen iedereen een algemene meldplicht op, die hier nu voorligt. Daarnaast zeggen wij dat voor specifieke sectoren, zoals telecom of overheid, zwaardere eisen gelden. Voor die sectoren geldt dus ook een verzwaarde meldplicht en een ander regime.
Je hebt dus verschillende plichten; het is niet een stelsel met een algemene plicht en daarvan afgeleide plichten. De meldplichten zijn in de tijd ontstaan. Het is niet geheel onlogisch dat het bij de telecom begonnen is en dat de meldplicht daar dus ook al wat langer bestaat. Nederland loopt op dit terrein niet achter, maar je ziet dat na verloop van tijd ook op Europees niveau de behoefte ontstaat om het breder, gemeenschappelijk en geharmoniseerd te regelen. Daardoor wordt daarin weer een stap gezet. Wij proberen het wel te stroomlijnen, maar wij gaan niet ons eigen niveau van bescherming lager maken omwille van de harmonisatie.
Mevrouw Gerkens heeft een vraag gesteld over de exacte bewaartermijn. Dat is lastig. De termijn is gesanctioneerd. Het gaat natuurlijk niet om het bewaren van al die gegevens of de privacy rond al die data. Het gaat echt om het lek. Wij vinden het dan wat te mager om de gedachte te laten postvatten: ik heb het bij de autoriteit gemeld, die bewaart het wel. Je hebt een eigen verantwoordelijkheid om te kunnen terugzien in de ontwikkeling van het bedrijf wat de voorgeschiedenis was. Was het de eerste keer? Is het een herhaalprobleem? Zit het in het falen van het beleid of is er niet genoeg aandacht voor? Heel bepaald vinden wij het dan ook lastig om het heel exact te doen, vooral omdat vanwege de technologie de bezwaarlijkheid van het bewaren van dit soort gegevens is afgenomen. Wij hebben het immers waarschijnlijk niet over rijen ordners die je tien jaar lang moet bewaren. Er zit een gradatie in het belang en de ernst van de zaak. Als we dit aan de verantwoordelijkheid laten van de ondernemer zelf, kan er ook intern lang genoeg worden teruggeblikt en kunnen er lessen worden geleerd uit wat er is gedaan met een vorig probleem.
De bewaarplicht op termijn zou ook nog het effect kunnen hebben dat de gegevens automatisch verwijderd worden na die termijn. Dat kan natuurlijk jammer zijn, in die gevallen waar het informatie betreft die nuttig kan zijn voor het voorkomen en verhelpen van toekomstige problemen."
Lees de beraadslaging hier (10) en hier (12).
