De E-Privacyrichtlijn gaat veranderen (3): wordt de meldplicht datalekken afgeschaft?

    5 December 2016

    In de voorgaande blogdelen schreef ik dat de E-Privacyrichtlijn 2002/58/EG (hierna: EPR) wordt herzien door de Europese Commissie en dat de artikel 29-Werkgroep (een samenwerkingsverband tussen Europese privacytoezichthouders)advies heeft gegeven aan de Europese Commissie over deze herziening. Vandaag bespreek ik het advies van de Werkgroep om artikel 4 van de EPR te herzien. Dit artikel gaat over de beveiliging van een openbare elektronische communicatiedienst en netwerk, en de plicht om datalekken te melden.

    Bescherming en beveiliging van eindapparatuur

    Artikel 4 lid 1 EPR verplicht aanbieders van een elektronische communicatiedienst zoals KPN en Ziggo om passende technische en organisatorische maatregelen te treffen zodat zij de veiligheid van hun dienst kunnen garanderen en daarmee het communicatiegeheim kunnen waarborgen. Zo moeten aanbieders er onder andere voor zorgen dat opgeslagen en verzonden persoonsgegevens worden beschermd tegen misbruik en verlies.

    De Werkgroep wil een stap verder gaan. Want, zo stelt de Werkgroep, eindapparatuur van gebruikers van netwerken voor elektronische communicatie (bv. smartphone, slimme thermostaat) en in die eindapparatuur bewaarde informatie maken ook deel uit van de persoonlijke levenssfeer van de gebruikers die bescherming vereist. De Werkgroep adviseert daarom dat aanbieders ook de eindapparatuur moeten beveiligen tegen spionagesoftware, webtaps, verborgen identificatoren en andere soortgelijke programmatuur.

    Om een hoger niveau van beveiliging van eindapparatuur te kunnen garanderen adviseert de Werkgroep dat de Europese Commissie:

    1. minimale beveiligingsnormen moet opstellen;
    2. aanbieders moet verplichten om passende technische en organisatorische maatregelen te treffen voor alle netwerkonderdelen zoals simkaarten, routers, clouddiensten en alle meegeleverde software in een eindapparaat;
    3. nieuwe technische standaarden moet ontwikkelen waaraan encryptie moet voldoen en;
    4. aanbieders moet verplichten om alleen algoritmes te gebruiken die reeds hebben bewezen dat ze voldoen aan de beveiligingsnormen.

    Bovenstaande advies van de Werkgroep in het kort: ook artikel 4 lid 1 EPR moet worden herzien waarbij er meer verplichtingen moeten gelden voor aanbieders van elektronische communicatiediensten. Maar, dat is nog niet alles, het strepen en wijzigen van artikel 4 EPR gaat verder.

    De meldplicht datalekken moet worden verwijderd uit de EPR

    De Werkgroep adviseert ook om de meldplicht datalekken (artikel 4.2 en 4.3 EPR) te schrappen. De gedachte achter deze meldplicht datalekken is dat het moet zorgen voor een transparante markt waarop aanbieders concurreren op het gebied van beveiliging van gegevens. De meldplicht moet zorgen voor een stimulans om de beveiliging zodanig te regelen dat klachten, negatieve publiciteit, en overstap naar de concurrent wordt voorkomen. Een goede doelstelling, waarom dan dit advies van de Werkgroep?

    De regels uit de Europese privacyrichtlijn 95/46/EG (dit is de ‘oude’ Algemene verordening gegevensbescherming) zijn algemeen en de EPR vult die algemene regels aan met meer specifieke regels. (lees in deel I meer over deze wisselwerking). Zo bestaat er een algemene meldplicht van datalekken uit de Europese privacyrichtlijn en daarnaast een meldplicht uit de EPR die specifiek van toepassing is op aanbieders van een openbaar elektronisch communicatiedienst (Ziggo, KPN).

    Met de komst van de AVG zijn de regels over de meldplicht veel breder omschreven en zijn nu ook van toepassing op aanbieders zoals Ziggo en KPN. Hierdoor is de noodzaak verdwenen om bovenstaande scheiding te handhaven en zorgt deze scheiding voor een risico op inconsistentie en dubbele meldingen, aldus de Werkgroep.

    Wat betekent dit voor de toekomst?

    Wanneer dit advies van de Werkgroep uiteindelijk Europese regelgeving wordt en de meldplicht uit de EPR wordt verwijderd, geldt nog steeds de meldplicht uit de AVG. De meldplicht wordt dus niet afgeschaft. Op dit moment hanteert Nederland strengere regels. Volgens de Nederlandse wet moet een datalek met ernstige nadelige of ongunstige gevolgen gemeld worden wanneer persoonsgegevens verloren raken of onrechtmatige verwerking redelijkerwijs niet kan worden uitgesloten.

    Terwijl de AVG spreekt van een datalek dat gemeld moet worden zodra de verantwoordelijke weet dat een datalek heeft plaatsgevonden. De vraag blijft of Nederland deze strengere regels blijft hanteren. Lees in onze factsheet meldplicht datalekken wat de plicht op dit moment inhoudt en wat dit betekent voor jouw organisatie. Daarnaast moeten we afwachten of en welke nieuwe verplichtingen en maatstaven gaan gelden voor aanbieders op het gebied van beveiliging. Ik hou je op de hoogte.

    Volgende keer de laatste blogpost in deze reeks over het advies van de Werkgroep om artikel 13 EPR over het ontvangen van ongewenste informatie, ook wel aangeduid als het spamverbod, te herzien.

     

    ICTRecht Academy

    Wat staat er in een bewerkersovereenkomst en hoe onderhandel je daar over? Hoe zit het met de Meldplicht Datalekken en hoe bereid ik mijn organisatie voor op de Algemene Verordening Gegevensbescherming? Met de trainingen van ICTRecht Academy krijgt u praktische antwoorden op deze vragen.
    > Bekijk het programma

     

    Terug naar overzicht

    Anne ten Velden

    Anne ten Velden, oud-medewerker ICTRecht
    Lees meer
    Click me
    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    Advies
    Professionals inhuren
    Documenten
    Tech/Software
    Ons team
    Vacatures
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram