Het College Bescherming Persoonsgegevens (CBP) kan de hoeveelheid meldingen over de privacywet niet meer aan. Hoewel winkels en bedrijven op internet massaal deze wetgeving negeren heeft het CBP simpelweg niet genoeg mankracht om alle meldingen te verwerken. Vorige maand trok het college aan de bel om deze zorgelijke ontwikkeling aan de kaak te stellen. Met een controlerend orgaan dat alleen kan controleren door via prioritering slechts een deel van de zaken aan te pakken is de consument feitelijk vogelvrij. Wanneer relatief kleine overtredingen toch niet gecontroleerd, en dus onbestraft blijven, zullen organisaties hun dataverzamelwoede gewoon doorzetten. En dan hebben we het hier nog eens alleen over overtredingen van de privacywet. Staatssecretaris Fred Teeven wil nu ook nog eens een meldplicht voor datalekken, het orgaan dat moet toezien op deze meldplicht? Het CBP natuurlijk.
Te omvangrijk takenpakket
Eigenlijk is het college dus min of meer “uit zijn jasje gegroeid”, de last is zo zwaar geworden dat men haar controlerende taak niet voldoende meer kan uitvoeren. Niet alleen het aantal zaken is groot, het kost ook nog eens veel tijd een zaak voldoende te kunnen onderzoeken. Het college krijgt als zelfstandig orgaan simpelweg te veel op het bordje, dat is nu al het geval.
Na de privacywet moet het college straks ook inschikken wat betreft de controle op datalekken. De staatssecretaris staat terecht een meldplicht van en verdergaande controle op datalekken voor, maar het is maar de vraag of hier zondermeer aan kan worden voldaan. In ieder geval is het CBP, dat deze controlerende taak ook op zich moet nemen, niet up to the job in de huidige samenstelling. Dat Teeven pleit voor een dergelijke wetgeving is door de toename van het aantal lekken en de aandacht daarvoor logisch, maar deze ontwikkeling op zich legt al een veel te grote last op een orgaan dat nu al onder druk staat.
Herstructurering
Of de Brenno de Winters onder u het leuk vinden of niet: er zal uiteindelijk een herziening van de opzet van Teeven moeten komen. Een controlerend orgaan taken geven die ze niet kan uitvoeren heeft weinig zin, zagen we al met de controle op de privacywet. In plaats daarvan zal het voorstel verder moeten voorzien in een uitbreiding van het College Bescherming Persoonsgegevens. Het is natuurlijk een dilemma, een controlerend orgaan vergroten tot een onvermijdelijk loggere institutie. In de huidige opzet is er echter eigenlijk geen ruimte voor de taken die het CPB nu al op zich moet nemen, laat staan een uitbreiding daarvan.
Het college zal dus samen met de wetgeving mee moeten groeien. Een gefaseerde invoer van de nieuwe taken dus, en een uitbreiding van de mogelijke inzet ten aanzien van de reeds bestaande controlerende taken. De belangenbehartiger van de Nederlandse ICT-sector, ICT~Office, is ook niet blij met de nieuwe meldplicht. Zij wijzen er op dat er binnenkort ook Europese Regelgeving aan zit te komen. Tevens stellen ze dat er gewerkt moet worden aan “positieve prikkels” om de beveiliging te verbeteren, dus preventief in plaats van het afstraffen van miskleunen. Een duivels probleem omdat de veiligheid van een systeem op managementniveau nog steeds heel lastig gekwantificeerd kan worden.
CC-Foto: Ben Stanfield