Meldplicht voor lekken persoonsgegevens

5 februari 2015, wetsvoorstel - Een meldplicht voor datalekken en een grotere rol voor het College bescherming persoonsgegevens (CBP). Staatssecretaris Teeven (Justitie) krijgt op hoofdlijnen steun voor zijn wetsvoorstel om privacygevoelige gegevens beter te beschermen.

Een hack van het computersysteem. Het als oud papier aanbieden van gevoelige stukken. Het verliezen van een geheugenstick. Teeven wil dit soort datalekken aanpakken door het invoeren van een meldplicht en het versterken van de bevoegdheden van het CBP. Een belangrijke stap vooruit bij de bescherming van privacygevoelige informatie, vindt Oosenbrug (PvdA). Het wetsvoorstel is goed bedoeld, zegt Helder (PVV), maar niet effectief genoeg. Onder anderen Schouw (D66) en Segers (ChristenUnie) doen aanvullende voorstellen. Ook Van Nispen (SP) wil dat "waakhond CBP scherpere tanden krijgt". Maar die zouden er niet toe mogen leiden dat de administratieve lasten fors stijgen, waarschuwen Oskam (CDA) en Bisschop (SGP).

CBP kan boetes opleggen

Als organisaties opzettelijk privacygevoelige gegevens lekken, kan het CBP direct een bestuurlijke boete opleggen. In andere gevallen moet er eerst een bindende aanwijzing worden gegeven. Schouw en Segers vinden die voorwaarde te beperkend en willen dat het CBP sneller kan besluiten tot een geldboete. Maar dan bestaat het gevaar dat te pas en te onpas boetes worden uitgedeeld, vreest Oskam. Van Wijngaarden (VVD) en Oosenbrug willen daarom als voorwaarde stellen dat er sprake moet zijn van "ernstig verwijtbare nalatigheid". De staatssecretaris sluit zich bij hun voorstel aan.

Hoe hoog moet de drempel voor melden zijn?

Teeven stelt voor dat organisaties datalekken moeten melden die ernstige nadelige gevolgen hebben voor de bescherming van de persoonlijke levenssfeer. Dat gaat Schouw, Van Wijngaarden en Oosenbrug niet ver genoeg: ook indien er een "aanzienlijke kans" is op die gevolgen moet er volgens hen al worden gemeld. Bovendien willen zij dat de meldplicht ook geldt voor het lekken van versleutelde gegevens. Gecodeerde data kunnen altijd worden ontsleuteld, zo sluit Van Nispen zich daarbij aan.

Discussie over onafhankelijkheid CBP

Het CBP stelt beleidsregels op over de hoogte en de berekening van de boetes. Maar deze moeten wel goedgekeurd worden door de ministeries van Veiligheid en Justitie en van Binnenlandse Zaken. Dit tast de onafhankelijkheid van de toezichthouder aan, stellen Schouw, Segers en Van Nispen, en is bovendien in strijd met Europese regels. Teeven heeft begrip voor deze bezwaren en suggereert "goedkeuring" te vervangen door "overleg". Helder en Bisschop vragen zich juist af of het CBP op een ander punt niet te veel vrijheid krijgt: is het wel verstandig om normstelling en sanctieoplegging in één hand te leggen?

De Kamer stemt op 10 februari over het wetsvoorstel en de ingediende moties.

Zie ook:

  • Het overzicht van de laatste debatten in het kort
  • De geredigeerde woordelijke verslagen van Kamervergaderingen (het stenogram). Deze zijn maximaal vier uur na het uitspreken beschikbaar.