Loading...

powered by co-ment®
 
www.CO-MENT.NET IS BEING PHASED OUT!  Head over to www.co-ment.com for the new version of the service.

Op 26 27 januari wordt de evaluatie van de Wet bescherming persoonsgegevens in de Tweede Kamer besproken. Bits of Freedom vindt dit een goede gelegenheid om aandacht te vragen voor de invoering van een brede "meldplicht datalekken". Dit is een concept voor een position paper waarin Bits of Freedom pleit voor de introductie van zo een meldplicht.

Help mee om het paper te verbeteren! Alle commentaar is welkom. Probeer het zo concreet en constructief mogelijk te maken, zodat we het makkelijk kunnen knippen en plakken. Wij zullen 22 januari het binnengekomen commentaar verwerken en het stuk finaliseren.

Een eerste concept van dit paper is tot stand gekomen met hulp van Koen Versmissen.

SAMENVATTING

1.Onze persoonsgegevens komen in steeds meer databanken voor. Die databanken zijn, mede doordat ze steeds vaker met internet verbonden zijn en doordat steeds meer gegevens op een drager kunnen worden opgeslagen, steeds moeilijker goed te beveiligen.

2.De kans op datalekken (het kwijtraken van persoonsgegevens als gevolg van verlies of diefstal) neemt daardoor toe. Datalekken zijn tegelijkertijd een groot probleem voor de betrokkenen: identiteitsfraude, ongewenste profilering, de-anonimisering, direct-marketing en verlies van vertrouwen in ICT zijn serieuze risico's van datalekken.

3.Om die problemen te beperken zou de Nederlandse overheid volgens Bits of Freedom een verplichting om datalekken te melden moeten introduceren: een “meldplicht datalekken”. Die meldplicht zou zich moeten richten op niet alleen het bedrijfsleven, maar ook op andersoortige databanken. Datalekken zouden gemeld moeten worden aan (potentiële) slachtoffers en het College Bescherming Persoonsgegevens (“CBP”). Zowel daadwerkelijke datalekken als mogelijke datalekken zouden onder de meldplicht vallen. De beperkte meldplicht zoals voorgeschreven in de ePrivacy-richtlijn is onvoldoende: het kabinet zou de herziening van de Wet bescherming Persoonsgegevens (“Wbp”) moeten aangrijpen om een brede meldplicht op te nemen.

4.Dat wordt hieronder toegelicht.

2.    MEER PERSOONSGEGEVENS WORDEN OPGESLAGEN IN DATABANKEN


5.Meer en meer van onze persoonsgegevens vinden massaal hun weg naar grote databanken. Niet alleen omdat het steeds gemakkelijker en goedkoper wordt om persoonsgegevens elektronisch vast te leggen, maar vooral ook doordat een steeds groter deel van ons leven zich in de virtuele wereld afspeelt. Met iedere stap die we online zetten laten we een digitaal spoor van bits en bytes achter. Die gegevens kunnen eenvoudig worden opgeslagen en in principe voor altijd met ons geassocieerd worden. In een onderzoek in opdracht van het CBP wordt geschat dat gegevens over de gemiddelde Nederlander in tussen de 250 en duizenden databanken zijn geregistreerd.1

6.In het kader van verschillende projecten van de overheid worden uitgebreide gegevens over burgers opgeslagen. Telecomgegevens worden opgeslagen en toegankelijk gemaakt in het kader van de Wet bewaarplicht telecommunicatiegegevens. Reisdocumenten en visa worden van biometrie voorzien, en deze biometrische kenmerken worden opgeslagen in databanken. Grote hoeveelheden privacygevoelige gegevens komen straks terecht in ons digitaal klantdossier in de sociale zekerheid, in ons elektronisch patiëntendossier en in het elektronisch kinddossier van onze kinderen. Dankzij de OV-chipkaart en straks de kilometerheffing (afhankelijk van de implementatie) zal ons reisgedrag tot in detail worden geregistreerd en bewaard. [andere voorbeelden?]

7.Daarnaast legt de private sector grote databanken met informatie over hun klanten aan. Dat kunnen gegevens zijn die van de klant zelf verkregen zijn, maar steeds vaker gaat het ook om gegevens die van derden zijn verkregen. Banken en winkels beschikken over uitgebreide databanken met de transacties van al hun klanten. Dienstverleners houden precies bij hoe hun klanten gebruik maken van hun dienst. Ook niet-commerciele instellingen houden grote databanken bij, bijvoorbeeld met adressen van donateurs. [andere voorbeelden?]

3.    DE KANS OP DATALEKKEN NEEMT TEGELIJKERTIJD TOE


8.Naarmate er meer en meer persoonsgegevens worden opgeslagen in databanken, neemt ook de kans dat deze gegevens in verkeerde handen komen toe: “hoe meer je opslaat, hoe meer je kan kwijtraken”. Er zijn daarnaast twee factoren die deze ontwikkeling versterken. In de eerste plaats maken organisaties steeds intensiever gebruik van internet, en verbinden zij daarom steeds vaker databanken aan het internet. Het goed beveiligen van een databank is op zich al ingewikkeld, en als deze databanken aan het internet worden verbonden wordt dit extra moeilijk doordat deze databanken makkelijker toegankelijk zijn voor de buitenwereld. Ten tweede passen er steeds meer gegevens op eenvoudig te vervoeren gegevensdragers zoals CD/DVD-ROMs en USB sticks. Geregeld worden er grote hoeveelheden gegevens uit databanken slecht of in het geheel niet beveiligd op zo’n mobiele gegevensdrager gezet, en het risico van misbruik bij verlies of diefstal wordt daarmee erg groot.

9.Ter illustratie worden hieronder een aantal in het oog springende casussen uit 2009 in Nederland gememoreerd:

10.Ook in andere landen is dit een groot probleem: in de Verenigde Staten zijn bijvoorbeeld 316 incidenten geregistreerd in de “data loss database”. In totaal ging het om de gegevens van meer dan honderd miljoen personen. Het werkelijke aantal ligt waarschijnlijk veel hoger, aangezien bij veel incidenten onbekend is hoeveel gegevens zijn uitgelekt of gevaar liepen. Er zijn honderden vergelijkbare verhalen in andere landen. In het Verenigd Koninkrijk zijn in 2007 CD-roms met de bankgegevens van 25 miljoen Engelsen (iedereen die recht heeft op kinderbijslag) kwijtgeraakt.6

4.    DATALEKKEN ZIJN EEN GROOT PROBLEEM VOOR DE BETROKKENEN


11.Datalekken brengen diverse risico’s met zich, doordat de weggelekte gegevens op verschillende manieren oneigenlijk gebruikt kunnen worden.

5.    BETROKKENEN MOETEN WORDEN GEINFORMEERD OVER DATALEKKEN

12.Organisaties hebben er bij datalekken lang niet altijd belang bij om de slachtoffers daarvan op de hoogte te stellen. Niet alleen is het kwaad waar het het de organisatie in kwestie betreft immers al geschied, ook kan deze in een ongunstig daglicht komen te staan wanneer breed bekend wordt dat er een datalek heeft plaatsgevonden. In de praktijk zijn er ook voorbeelden bekend van datalekken die (aanvankelijk) voor de slachtoffers verborgen werden gehouden. [zijn hiervan voorbeelden? gelieve deze aan te geven]

13.Het is tegelijkertijd belangrijk dat slachtoffers snel op de hoogte worden gebracht van het feit dat persoonsgegevens van hen gecompromitteerd zijn. Het tijdig en volledig informeren van slachtoffers van datalekken kan identiteitsfraude weliswaar niet geheel voorkomen, maar kan de slachtoffers wel in staat stellen om maatregelen te nemen, zoals het laten blokkeren van hun credit card. En waar het niet mogelijk is om preventieve maatregelen te nemen, zal het informeren van de slachtoffers in ieder geval leiden tot verhoogde waakzaamheid, zodat bij het eerste teken van identiteitsfraude alsnog kan worden ingegrepen. De andere genoemde risico’s van datalekken zullen in het algemeen minder gemakkelijk te voorkomen zijn door een slachtoffer dat op de hoogte is gebracht. Niettemin geldt ook daar dat bekendheid met het datalek tot verhoogde alertheid zal leiden, en daardoor zal helpen bij het blootleggen van het oneigenlijke gebruik van informatie.

14.Ook is het van belang dat organisaties meer open moeten zijn over datalekken. Indien zij niet alleen de slachtoffers moeten informeren, maar ook het algemene publiek, dan heeft dat verschillende positieve effecten:

15.Het is dan ook niet verbazingwekkend dat in verschillende landen en in Nederland de roep om een meldplicht datalekken toeneemt. De meldplicht datalekken is al in meerdere landen geïntroduceerd, waaronder onlangs in Duitsland (zie onder meer het rapport “Melding Maken” van Research voor Beleid, gepubliceerd op 17 april 2009, voor een deeloverzicht hiervan). Op Europees niveau wordt deze meldplicht datalekken in het kader van de herziening van de ePrivacy-richtlijn (2002/58/EG) ingevoerd, maar die geldt slechts voor de telecommunicatiesector. Bovendien pleit de Artikel 29-werkgroep voor een vergelijkbare meldplicht (zie opinie 1/2009 van 10 februari 2009). Peter Hustinx van de Europese toezichthouder voor persoonsgegevens heeft in 2008 opgeroepen tot een bredere meldplicht voor datalekken.8 Officier van justitie Speijers, CBP-voorzitter Kohnstamm en D66-leider Pechtold hebben in 2008 ook opgeroepen tot een wettelijke meldplicht bij diefstal van persoonsgegevens van klanten.9 Ook de PvdA wil een meldplicht instellen voor grote bedrijven na inbraak in hun computersystemen.10

16.Hoewel reeds een beperkte meldplicht voor telecomaanbieders in de ePrivacy-richtlijn is opgenomen, is de door Bits of Freedom voorgestelde meldplicht breder. Er is in de media te lezen dat op Europees niveau een bredere meldplicht in de maak is. Het duurt echter te lang om daarop te wachten: Nederland kan de implementatie van de herziening van de ePrivacy richtlijn aangrijpen om een brede meldplicht op te nemen. Dat zou passen in het beleid zoals aangekondigd in de brief van de Minister van Binnenlandse Zaken van 8 april 2009 aan de Tweede Kamer, waarin wordt aangekondigd dat het kabinet “na afronding van de besluitvorming op Europees niveau [zal] overgaan tot nationale implementatie en een meldplicht [zal] invoeren in geval van verlies van persoonsgegevens uit datasystemen”. Daarbij zal gebruik worden gemaakt van de kennis die is opgedaan uit het rapport “Melding maken?'. Daarom zou het kabinet reeds nu een meldplicht datalekken volgens de volgende richtlijnen moeten introduceren.

A.1    Wie moet melden?
Zoals we hebben gezien ontstaan er op steeds meer plaatsen grote databanken: zowel in de publieke als de private sector. Bits of Freedom vindt dan ook dat de meldplicht datalekken voor alle organisaties moet gelden. Of, in termen van de Wet bescherming persoonsgegevens: een meldplicht datalekken geldt voor alle verantwoordelijken.

A.2    Bij wie moet er gemeld worden?
(Mogelijke) datalekken moeten in beginsel worden gemeld bij zowel de (potentiële) slachtoffers als bij een onafhankelijk overheidsorgaan. Gelet op de noodzakelijke breedte van de meldplicht en het feit dat het om, vaak gevoelige, persoonsgegevens gaat, vindt Bits of Freedom dat het bijhouden van meldingen het beste bij het College Bescherming Persoonsgegevens kan worden neergelegd. Eventueel kan bepaald worden dat het CBP in het geval van een melding in overleg met de verantwoordelijke bepaalt of de (potentiële) slachtoffers geïnformeerd dienen te worden.

A.3    Wat voor soort datalekken moeten gemeld worden?
Bits of Freedom vindt dat zowel daadwerkelijke datalekken als mogelijke datalekken moeten worden gemeld. Met mogelijke datalekken bedoelen we beveiligingsinbreuken waarvan niet duidelijk is of als gevolg daarvan ook persoonsgegevens in verkeerde handen terecht zijn gekomen. Verder doet het er in de ogen van Bits of Freedom niet toe hoeveel of wat voor gegevens er zijn ontvreemd: alle datalekken zouden meldingsplichtig moeten zijn. Wel kan er om verantwoordelijken niet onnodig te belasten worden gekozen voor een vereenvoudigde meldingsprocedure in minder ernstige gevallen.

A.4    Tekstvoorstel wijziging Wbp
Aan de Wet bescherming persoonsgegevens (Wbp) wordt een artikel 13a toegevoegd, dat als volgt luidt:

1.De verantwoordelijke die weet, of redelijkerwijs kan vermoeden, dat derden toegang hebben gekregen tot door hem verwerkte persoonsgegevens stelt de betrokkenen daarvan onverwijld op de hoogte.
Opmerking: In de toelichting dient duidelijk gemaakt te worden dat de zinsnede “redelijkerwijs kan vermoeden” ook van toepassing is op beveiligingsinbreuken waarvan niet bekend is of die tot onbevoegde toegang tot gegevens hebben geleid.
2.De verantwoordelijke als bedoeld in het eerste lid stelt eveneens het College onverwijld op de hoogte.
3.Het College houdt een openbaar register bij van de meldingen die het ontvangt uit hoofde van het tweede lid.
4.Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gesteld over de wijze waarop de meldingen dienen te geschieden.

Aan de lijst van artikelen in artikel 15 Wbp wordt het nieuwe artikel 13a toegevoegd.

Related Links:

Togel178

Pedetogel

Sabatoto

Togel279

Togel158

Colok178

Novaslot88

Lain-Lain

Partner Links