Nederland is graag een voorloper op het gebied van innovatie, digitalisering en daarbij passende wetgeving. De rest van Europa, waaronder mijn eigen België, wacht de invoering van de GDPR af. Nederland liep echter voorop met het introduceren van de Meldplicht Datalekken. De wet is nu ruim een jaar van kracht. Er zijn gemengde gevoelens over hoe de wet tot nu toe uitpakt.
Bewustwording
Enerzijds heeft de wetgeving bijgedragen aan een hogere bewustwording bij bedrijven en instellingen van het belang van het beschermen van persoonsgegevens. Zo zijn er 5500 meldingen van datalekken gedaan in 2016. Zonder de wet zouden die vermoedelijk onder het kleed geveegd zijn. Er zijn duizenden medewerkers van bedrijven naar workshops gegaan over de meldplicht. En over het verbeteren van de persoonsgegevens die binnen de organisatie bewaard of bewerkt worden. Anderzijds is er nog een lange weg te gaan. Er zijn immers slechts 5500 meldingen gedaan. Als je weet dat elke malware-besmetting (waaronder een besmetting met ransomware) van een bedrijf of instelling moet worden beschouwd als een datalek dat gemeld dient te worden, weten wij als security experts, dat 5500 nog geen procent is van alle datalekken die in 2016 bij ondernemingen hebben plaatsgevonden.
Boetes
Al vrij snel werd via informele kanalen duidelijk dat de instelling die verantwoordelijk is voor de naleving van de Meldplicht, de Autoriteit Persoonsgegevens, niet van plan was om in 2016 boetes uit te delen. Het eerste jaar zou meer worden beschouwd als een pilot. In deze periode moesten alle ondernemingen wennen aan het feit dat er nu mogelijk consequenties waren van het niet goed naleven van de wet bescherming persoonsgegevens.
Op zich valt daar misschien iets voor te zeggen. Er is (ook getuige het grote aantal workshops rondom dit thema) erg veel onduidelijkheid en onbekendheid over de Meldplicht en hoe die precies moet worden toegepast.
Overheidsinstellingen
Instellingen die naar mijn idee niet hadden hoeven ‘wennen’ zijn overheidsinstellingen. Immers: wanneer bijvoorbeeld de gemeente waarin jij woont (bijvoorbeeld: Amersfoort) onvoorzichtig is geweest en allerlei gevoelige medische gegevens naar een verkeerd persoon heeft gemaild, kun je niet, zoals bij een commercieel bedrijf, protesteren met je voeten. Je woont nu eenmaal in die gemeente en die is verantwoordelijk voor allerlei zorgtaken. Als burger kom je er niet onderuit om je gegevens te delen met je gemeente. Of wat te denken van de verhuizende rechtbank die zijn dossiers onvoldoende beveiligd op de oude locaties achterlaat?
Vergelijkbaar is de situatie van de Belastingdienst, die Zembla onlangs op ijzersterke wijze aan de kaak stelde. De gegevens van miljoenen Nederlandse belastingbetalers waren niet afdoende beveiligd (uiteraard beweert Belastingdienst-fanboy Wiebes nu van wel, maar dat geloven we pas als we daar bewijs van zien). Iemand op Twitter plaatste een heel rake opmerking met de volgende strekking: ‘Als de Belastingdienst niet conform de wet met mijn persoonlijke en financiële gegevens omspringt, zeg ik bij deze mijn abonnement met de dienst op’. Dat gaat dus niet. Overheidsinstellingen hebben meestal een monopolie voor de specifieke taken die zijn uitvoeren. Als burger heb je geen keuze om je hele hebben en houden aan deze diensten te overleggen.
Boetes
Wanneer juist deze partijen de wet bescherming persoonsgegevens overtreden en bovendien nalaten om dit te melden (totdat zij in de media aan de schandpaal genageld worden en geen andere keuze meer hebben), dan is een dikke boete absoluut op zijn plaats. Toch zijn er, ondanks het feit dat er al meerdere voorbeelden zijn van overheidsinstanties met datalekken in dit nieuwe jaar (meestal aan het licht zijn gekomen door toedoen van de media of door een anonieme tipgever), tot op heden nog steeds geen fikse boetes uitgeschreven door de AP.
Toegegeven: het uitdelen van boetes aan een overheidsinstantie voelt als een vestzak-broekzakoperatie. Het levert de staatskas per saldo niets op. Maar de individuele diensten hebben er wel degelijk last van als hun jaarbudget plotseling belast wordt met een hoge boete. Het personeelsuitje zal soberder moeten. Het bestuur kan dit jaar niet naar de brainstormsessie op de heide, maar zal gewoon met elkaar moeten vergaderen in een saaie vergaderruimte in het gemeentehuis. De aanschaf van een nieuwe koffiemachine zal een jaar moeten worden uitgesteld. Wie weet wordt door dat soort consequenties de bescherming van de privacy van de burger plotseling toch nog een prioriteit.
Als overheid die graag voorop loopt in Europa als het gaat om alles wat met digitalisering te maken heeft, geef je toch graag zelf het goede voorbeeld?
Dirk Cools, Country Manager G DATA Benelux
