Staatssecretaris Teeven heeft het niet makkelijk: een update van de verantwoordelijkheden van het College Bescherming Persoonsgegevens (CBP) is broodnodig. Er is echter eigenlijk helemaal geen ruimte voor een de noodzakelijke uitbreiding. Teeven probeert het gezicht hier nog te redden door te stellen dat verder onderzoek doorgaans toch niet nodig is, maar dat is natuurlijk een beetje een rare zaak. Hoe bepaal je dan welke zaken geen verder onderzoek behoeven? En als de meeste zaken dan echt geen verder onderzoek behoeven, voldoet de voorgestelde uitbreiding dan wel? De staatssecretaris heeft met de voorgenomen meldplicht eigenlijk wat te veel hooi op de vork genomen, of misschien is het beter te zeggen dat hij het CBP teveel hooi laat opscheppen. Terwijl het CBP eerder aangaf zaken met betrekking tot onnodige dataverzameling al regelmatig geen opvolging te kunnen geven.
Meldplicht herzien
De belangenbehartiger van de Nederlandse ICT-sector, ICT~Office wees er eerder al op dat er ook Europese wetgeving over betreft datalekken aan zit te komen. Zij vonden het daarom onverstandig nu al zo’n vaart te maken met een eigen Nederlands voorstel. Tel je daarbij op dat het CBP zelf al aangaf naast de privacykwesties niet ook nog deze datalek meldplicht aan te kunnen dan is het niet zo gek dat we op DeJaap al eerder tot de conclusie kwamen dat Teeven het voorstel beter kan herzien. In lijn met die conclusie geeft ook het college deze maand nu aan dat het wetsvoorstel wat hen betreft het beste gewijzigd kan worden.
Ondertussen verwacht de staatssecretaris zo’n 66.000 meldingen per jaar. Wanneer er men constateert dat er een datalek niet gemeld is kan er een boete opgelegd worden die kan oplopen tot 200.000 euro. Nu het CBP meldt niet al deze lekken te kunnen gaan onderzoeken kun je je afvragen of het ook daadwerkelijk tot boetes gaat komen. Dan moet men immers ook nog gaan nagaan welke lekken níet gemeld zijn, of men kan alleen de zaken die publiek bekend worden aanpakken.
Wassen neus
Natuurlijk zegt niemand letterlijk dat de het nieuwe voorstel een wassen neus is. Wel weet Teeven ons te melden dat het allemaal niet zo’n storm zal lopen qua meldingen. En geef de man eens ongelijk: hij moet wel iets doen om de door hem geschatte 66.000 meldingen ergens te parkeren, ook al geeft de instantie die het geheel moet overzien aan dat ze er eigenlijk gewoon geen tijd voor hebben. Door alle kritiek doet de hele opzet nu wel erg vrijblijvend aan. Mocht het CBP het werk inderdaad niet aankunnen, dan “worden er nadere gesprekken gevoerd”. Daarbij dienen we dus op te merken dat het betreffende college niet alleen wat betreft de meldplicht, maar ook wat betreft privacyklachten al heeft aangegeven niet te beschikken over voldoende manuren. Een datalek meldplicht is op zich een goed initiatief, maar wanneer herhaalde waarschuwingen al vóór de in werking treding genegeerd worden is er geen gedegen basis om ook echt goed te kunnen handhaven. Daarmee bestaat de levensgrote kans dat er uiteindelijk geen effectief beleidsinstrument is neergezet.
CC-Foto: ‘Timitrius‘