Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

De E-Privacyrichtlijn gaat veranderen (3): wordt de meldplicht datalekken afgeschaft?

Juridisch Product

Hoge boetes voor datalekken voorkomen? Vanaf 1 januari 2016 is het wettelijk verplicht om datalekken te melden. Wie data laat lekken of persoonsgegevens verwerkt zonder zich netjes aan de wet te houden, maakt kans op een boete. Deze boetes kunnen per overtreding oplopen tot € 820.000 of 10% van de jaaromzet.

In de voorgaande blogdelen schreef ik dat de E-Privacyrichtlijn 2002/58/EG (hierna: EPR) wordt herzien door de Europese Commissie en dat de artikel 29-Werkgroep (een samenwerkingsverband tussen Europese privacytoezichthouders)advies heeft gegeven aan de Europese Commissie over deze herziening. Vandaag bespreek ik het advies van de Werkgroep om artikel 4 van de EPR te herzien. Dit artikel gaat over de beveiliging van een openbare elektronische communicatiedienst en netwerk, en de plicht om datalekken te melden.

Bescherming en beveiliging van eindapparatuur

Artikel 4 lid 1 EPR verplicht aanbieders van een elektronische communicatiedienst zoals KPN en Ziggo om passende technische en organisatorische maatregelen te treffen zodat zij de veiligheid van hun dienst kunnen garanderen en daarmee het communicatiegeheim kunnen waarborgen. Zo moeten aanbieders er onder andere voor zorgen dat opgeslagen en verzonden persoonsgegevens worden beschermd tegen misbruik en verlies.

De Werkgroep wil een stap verder gaan. Want, zo stelt de Werkgroep, eindapparatuur van gebruikers van netwerken voor elektronische communicatie (bv. smartphone, slimme thermostaat) en in die eindapparatuur bewaarde informatie maken ook deel uit van de persoonlijke levenssfeer van de gebruikers die bescherming vereist. De Werkgroep adviseert daarom dat aanbieders ook de eindapparatuur moeten beveiligen tegen spionagesoftware, webtaps, verborgen identificatoren en andere soortgelijke programmatuur.

Om een hoger niveau van beveiliging van eindapparatuur te kunnen garanderen adviseert de Werkgroep dat de Europese Commissie:

  1. minimale beveiligingsnormen moet opstellen;
  2. aanbieders moet verplichten om passende technische en organisatorische maatregelen te treffen voor alle netwerkonderdelen zoals simkaarten, routers, clouddiensten en alle meegeleverde software in een eindapparaat;
  3. nieuwe technische standaarden moet ontwikkelen waaraan encryptie moet voldoen en;
  4. aanbieders moet verplichten om alleen algoritmes te gebruiken die reeds hebben bewezen dat ze voldoen aan de beveiligingsnormen.

Bovenstaande advies van de Werkgroep in het kort: ook artikel 4 lid 1 EPR moet worden herzien waarbij er meer verplichtingen moeten gelden voor aanbieders van elektronische communicatiediensten. Maar, dat is nog niet alles, het strepen en wijzigen van artikel 4 EPR gaat verder.

De meldplicht datalekken moet worden verwijderd uit de EPR

De Werkgroep adviseert ook om de meldplicht datalekken (artikel 4.2 en 4.3 EPR) te schrappen. De gedachte achter deze meldplicht datalekken is dat het moet zorgen voor een transparante markt waarop aanbieders concurreren op het gebied van beveiliging van gegevens. De meldplicht moet zorgen voor een stimulans om de beveiliging zodanig te regelen dat klachten, negatieve publiciteit, en overstap naar de concurrent wordt voorkomen. Een goede doelstelling, waarom dan dit advies van de Werkgroep?

De regels uit de Europese privacyrichtlijn 95/46/EG (dit is de ‘oude’ Algemene verordening gegevensbescherming) zijn algemeen en de EPR vult die algemene regels aan met meer specifieke regels. (lees in deel I meer over deze wisselwerking). Zo bestaat er een algemene meldplicht van datalekken uit de Europese privacyrichtlijn en daarnaast een meldplicht uit de EPR die specifiek van toepassing is op aanbieders van een openbaar elektronisch communicatiedienst (Ziggo, KPN).

Met de komst van de AVG zijn de regels over de meldplicht veel breder omschreven en zijn nu ook van toepassing op aanbieders zoals Ziggo en KPN. Hierdoor is de noodzaak verdwenen om bovenstaande scheiding te handhaven en zorgt deze scheiding voor een risico op inconsistentie en dubbele meldingen, aldus de Werkgroep.

Wat betekent dit voor de toekomst?

Wanneer dit advies van de Werkgroep uiteindelijk Europese regelgeving wordt en de meldplicht uit de EPR wordt verwijderd, geldt nog steeds de meldplicht uit de AVG. De meldplicht wordt dus niet afgeschaft. Op dit moment hanteert Nederland strengere regels. Volgens de Nederlandse wet moet een datalek met ernstige nadelige of ongunstige gevolgen gemeld worden wanneer persoonsgegevens verloren raken of onrechtmatige verwerking redelijkerwijs niet kan worden uitgesloten.

Terwijl de AVG spreekt van een datalek dat gemeld moet worden zodra de verantwoordelijke weet dat een datalek heeft plaatsgevonden. De vraag blijft of Nederland deze strengere regels blijft hanteren. Lees in onze factsheet meldplicht datalekken wat de plicht op dit moment inhoudt en wat dit betekent voor jouw organisatie. Daarnaast moeten we afwachten of en welke nieuwe verplichtingen en maatstaven gaan gelden voor aanbieders op het gebied van beveiliging. Ik hou je op de hoogte.

Volgende keer de laatste blogpost in deze reeks over het advies van de Werkgroep om artikel 13 EPR over het ontvangen van ongewenste informatie, ook wel aangeduid als het spamverbod, te herzien.

 

ICTRecht Academy

Wat staat er in een bewerkersovereenkomst en hoe onderhandel je daar over? Hoe zit het met de Meldplicht Datalekken en hoe bereid ik mijn organisatie voor op de Algemene Verordening Gegevensbescherming? Met de trainingen van ICTRecht Academy krijgt u praktische antwoorden op deze vragen.

 

Anne ten Velden

Voormalig medewerker ICTRecht

Voormalig medewerker ICTRecht.


Er zijn nog geen reacties.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie