16 februari 2012

Boetes voor niet voldoende beveiligen van persoonsgegevens: “dat lossen we zelf wel op”

Tijdens mijn dagelijkse treinreis naar kantoor in Den Haag las ik het volgende artikel op de voorpagina van de krant de Spits: “Boete voor lekken” Daarnaast viel mijn oog op het volgende artikel op nu.nl: “CBP wil boete voor slechte beveiliging klantgegevens”.

Het is reeds bekend nieuws dat de persoonsgegevens van 100.000 Bavaria klanten op straat liggen. De internetdienstverlener Creation Point was gehackt. De hacker stelde de beveiliging buiten werking, waardoor de gegevens vrij simpel benaderbaar waren.

Nu gaan er geluiden vanuit de politiek op om hiertegen maatregelen te nemen. Het Tweede Kamerlid Arjan El Fassed van GroenLinks vindt dat het College bescherming persoonsgegevens (Cbp) boetes zou moeten kunnen uitdelen aan bedrijven die laks omspringen met de beveiliging van persoonsgegevens. Hij wordt in het aangehaalde artikel in de Spits als volgt aangehaald: “Ik wil graag dat de straf een percentage van de omzet beslaat, zodat elk bedrijf, van kleine webshop tot de grote jongens, het voelt als ze niks doen.”. Er zou geen financiële prikkel zijn om de gegevens goed te beveiligen. En zoals uit het tweede aangehaalde artikeltje blijkt, roept het Cbp zelf ook op tot het verkrijgen van de bevoegdheid om bestuursrechtelijke boetes op te kunnen leggen.

Deze mening lijkt te worden gesteund door de digitale burgerrechtenorganisatie Bits of Freedom en door de journalist Brenno de Winter. Brenno de Winter wil zelfs verder gaan en de bedrijven die slordig omgaan met persoonsgegevens strafrechtelijk vervolgen, wat ik een ridicuul voorstel vind. Welke bestuurder van een ICT-bedrijf die persoonsgegevens verwerkt kan dan nog veilig gaan slapen terwijl hij weet dat hij gehackt kan worden en daarvoor strafrechtelijk zal worden vervolgd. Een hack is immers altijd mogelijk, hoe goed de beveiliging ook is.

Over het algemeen kan ik mij natuurlijk wel vinden in een betere beveiliging van persoonsgegevens, maar naar mijn mening vergeten De Winter en El Fassed hier dat het gaat om bedrijven waar met het civiele recht tegen opgetreden kan worden, mits dit contractueel goed is geregeld. Er hoeft mijns inziens helemaal geen gebruik gemaakt te worden van bestuursrechtelijke boetes en strafrechtelijke sancties. Om het huidige speelveld even te schetsen; artikel 13 van de Wet bescherming persoonsgegevens (Wbp) stelt momenteel reeds dat de verantwoordelijke passende technische en organisatorische maatregelen moet treffen tegen het verlies of tegen enige vorm van onrechtmatig gebruik, maar wanneer dit niet gebeurt kan het Cbp geen boete uitdelen, wat mijns inziens geen slechte zaak is.

Het heeft namelijk de voorkeur dat partijen dit in de civielrechtelijke sfeer oplossen zonder tussenkomst van een door de overheid ingesteld orgaan. Zoals in het hierboven genoemde voorbeeld, waarin de persoonsgegevens van Bavaria op straat kwamen te liggen, was het Bavaria die een derde partij inhuurde om haar internetactiviteiten te verrichten. In dit geval was Creation Point dus een leverancier van Bavaria. Van een professionele partij als Bavaria mag verwacht worden dat er een contract is met Creation Point. In dat contract kan Bavaria harde afspraken maken over wat er gebeurt wanneer haar klantgegevens op straat komen te liggen. Een bedrijf als Bavaria lijdt hierdoor imagoschade en zal deze schade willen verhalen op de internetprovider. Dat dit een procedure zal zijn met een groot aantal haken en ogen staat vast; immers hoe bepaal je de hoogte van de imagoschade?

Daarom is het sterk aan te raden om, wanneer een partij door een derde persoonsgegevens laat verwerken, altijd een boetebeding in het contract op te laten nemen. Allereerst moet de hoogte van de boete een stimulans geven, opdat de persoonsgegevens adequaat worden beveiligd. Met andere woorden, de boete moet wel hoog genoeg zijn. Wanneer de boete dusdanig laag is, kan het zo zijn dat het betalen van een boete goedkoper is dan een goede beveiliging. Daarnaast zal dit beding inhouden dat de persoonsgegevens verwerkt dienen te worden conform de Wbp en dat er passende technische beveiligingsmaatregelen zijn genomen.

Daarbij stuit ik op een kritiek punt ten opzichte van de huidige wetgeving. Wat is immers een passende technische maatregel? Dit kan van alles zijn. Bij een vorige hack inzake BabyDump, welke aandacht van de media kreeg, kwamen ook de gegevens van personen op straat te liggen. Babydump had het Thuiswinkel Keurmerk. Het Thuiswinkel Keurmerk oordeelde dat er wel degelijk beveiligingsmaatregelen waren genomen, waardoor babydump het Thuiswinkel Keurmerk kan behouden. Wellicht is dit oordeel terecht, wellicht onterecht. Deze informatie heb ik niet voorhanden. Vast staat mijns inziens wel dat wanneer iemand iets wil hacken dat over het algemeen mogelijk zal zijn. Een goede beveiliging zorgt er enkel voor dat het lastiger zal zijn en langer zal duren, waardoor de hacker wellicht wordt afgeschrikt voor het plegen van de hack. Omdat de definitie van passende technische beveiligingsmaatregelen altijd subjectief zal zijn, raad ik aan om hier contractueel altijd harde normen voor op te nemen.

Wanneer je contractueel vastlegt dat de verwerker van persoonsgegevens moet voldoen aan deze beveiligingsstandaarden en hieraan een boete koppelt wanneer hij dit niet doet, kan je als bedrijf rustiger gaan slapen. Een garantie dat door deze beveiliging niet heen valt te komen, kan niemand geven, maar wat je wel zeker weet is, dat je kan toetsen of of de persoonsgegevens voldoende zijn beschermd.

Uit het bovenstaande blijkt mijns inziens dat het helemaal niet in het belang is dat een overheidsorganisatie oordeelt en boetes kan uitdelen wanneer er niet voldoende technische beveiligingsmaatregelen worden genomen. Bedrijven kunnen dit heel goed onderling oplossen. Wat mij betreft is deze roep om meer bevoegdheden een fraai staaltje van incidentpolitiek.

Advocaat Sietse Zeijlmaker

Tel. 070 381 92 81 | info@wisemen.nl

ARCHIEF

18 mei 2012

Geen schending portretrecht in boek Platter & dikker
15 mei 2012

Tijdelijk minder werken na ouderschapsverlof ingevoerd
14 mei 2012

Makkelijker contracten afdwingen
11 mei 2012

Er is beslag gelegd, wat nu?
10 mei 2012

Piratenpartij moet toegang tot The Pirate Bay blokkeren
9 mei 2012

Moet een arbeidscontract worden ondertekend met een handtekening?
7 mei 2012

Matiging van boete uit concurrentiebeding
3 mei 2012

Geen auteursrecht op functionaliteiten en programmeertaal software
3 mei 2012

Virtuele diefstal ook strafbaar
1 mei 2012

Wettelijke regels koop van toepassing op standaardsoftware
9 mei 2012

Uitgelicht: IT-contracten
1 mei 2012

Uitgelicht: de Consumentenautoriteit
27 april 2012

Tracking cookie gebruik aan banden
26 april 2012

Geen ontslagvergoeding door goed ICT-reglement
19 april 2012

Een relatiebeding van drie jaar: mag dat?
17 april 2012

Mag de werkgever de history van werknemers bijhouden?
2 april 2012

Tweet geen overtreding van relatiebeding
30 maart 2012

Terughoudendheid bij ICT-ondernemers bij aanbieden Cloud-diensten
14 maart 2012

3 juridische aandachtspunten aankoop van software
12 maart 2012

Meldplicht datalekken en de impact op uw onderneming
9 maart 2012

Nieuwe Europese privacyregels relevant voor sociale netwerken
5 maart 2012

Bezoek van de BSA, hoe nu verder?
2 maart 2012

Een brief van de BSA, hoe nu verder?
20 februari 2012

De Business Software Alliance (BSA) richt zijn pijlen op de bouwsector
16 februari 2012

Boetes voor niet voldoende beveiligen van persoonsgegevens
7 februari 2012

Overdragen broncode van software
6 februari 2012

Het chrome van Google wordt gladder per 1 maart 2012
3 februari 2012

Werknemers die regelmatig te laat komen
2 februari 2012

Grootste fouten in arbeidsovereenkomsten
1 februari 2012

Vergoeding van de buitengerechtelijke kosten
31 januari 2012

Uitgelicht: Wettelijke rente vorderen
30 januari 2012

Inval van de BSA
27 januari 2012

Het recht op het maken van wijzigingen in software voor Opdrachtgever
10 februari 2012

Regels voor een webwinkel aan huis; niet alles mag.
26 januari 2012

Nieuwe beleidsregels gunstbetoon geneeskundige beroepsbeoefenaars
25 januari 2012

Zet uw merken en domeinnamen op de juiste entiteit
24 januari 2012

Wet Van Dam al toepasselijk in 2009
23 januari 2012

Uitbreiding tijdelijke overeenkomst jongeren vervalt
20 januari 2012

Verzuim zonder ingebrekestelling van IT-leverancier
19 januari 2012

Uitgelicht: Privacy en cloud computing
18 januari 2012

Wetsvoorstel modernisering regelingen voor verlof en arbeidstijden
17 januari 2012

Uitgelicht: De agentuurovereenkomst
16 januari 2012

Uitgelicht: Grijs of zwart maken van beslagen
13 januari 2012

Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars
12 januari 2012

Intelligente vervoerssystemen in het wegvervoer ITS
12 januari 2012

Verbod op onrechtmatige uitlatingen in de media
11 januari 2012

Verplichte blokkade van The Pirate Bay door Ziggo en XS4ALL
6 januari 2012

Uitgelicht: Tussentijds opzegbeding in de arbeidsovereenkomst
5 januari 2011

Uitgelicht: Gedragscode Promotionele Kansspelen
14 december 2011

Landelijk diplomaregister extra drempel tegen diplomafraude
13 december 2011

Aansprakelijkheid van internet provider als tussenpersoon
22 december 2011

Onrechtmatige publicatie in de pers
12 december 2011

Ontbinding online koopovereenkomst
16 november 2011

Uitgelicht: Het auteursrecht
14 november 2011

Vitaliteitsregeling: afschaffing spaarloon en levensloop
10 november 2011

Nieuwe wetgeving vakantiedagen en ziekte 2012 - vervolg
29 september 2011

Brein wint rechtzaak tegen nieuwsproviders
16 februari 2011

Webwinkel past niet in bestemmingsplan
15 maart 2010

Tijdelijke overeenkomsten jongeren uitgebreid

Legal Scan

Legal Controller

Legal Outsourcing

Vraag een brochure aan

Boetes voor niet voldoende beveiligen van persoonsgegevens: “dat lossen we zelf wel op”

RECHTSGEBIEDEN

NIEUWS

WEBLOG