Datalekken: in gesprek met Prof. Custers

Met belangstelling en groeiende en daarna afnemende instemming heb ik uw opiniestuk in Trouw van 21-2-2020 gelezen waarin u drie factoren benoemt waardoor de huidige regelgeving rond datalekken niet werkt:
1. Het mechanisme van naming & shaming werkt niet bij grote aantallen.
2. Door de grote aantallen werkt de handhaving (met boetes e.d.) niet.
3. Veel datalekken worden nog steeds niet gemeld: doordat de regels niet helder zijn, is het min of meer een keuzebesluit van een organisatie om een datalek al dan niet te melden.

U draagt een aantal oplossingen aan:
a) Meer duidelijkheid over wanneer er moet worden gemeld.
b) De meldplicht voor onbeduidende datalekken zou moeten komen te vervallen (of ingeperkt door aanvullende criteria), waardoor de aandacht kan uitgaan naar de ‘beduidende’ datalekken.
c) De toezichthouder zou de aandacht moeten verleggen van het registreren van datalekken naar het opvolging geven aan datalekken: bij ernstige datalekken moeten sancties worden opgelegd.

Bij het lezen van de beperkingen in de regelgeving rond datalekken nam mijn instemming toe. Het mechanisme van naming & shaming werkt niet, al is het omdat de meeste datalekken door de AP niet met naam en toenaam aan een bedrijf worden gekoppeld. De handhaving van de AP gaat in 99,99% van de gevallen niet verder dan het registreren van die datalekken, en die enkele keer dat de AP iets verder gaat en een bestuursmaatregel of een boete oplegt, is het zeer de vraag of de bestuursmaatregel daadwerkelijk wordt nagekomen (de AP kan er niet op controleren) terwijl een deel van die boetes zo niet alle boetes in een juridisch traject zullen sneuvelen of gemitigeerd. En de meeste organisaties hebben natuurlijk nog steeds geen flauw idee wat een datalek is.

Als de ABN AMRO een brief aan een adres verstuurd die geadresseerd is aan “F. Verweij” en er vervolgens achter komt dat er op het betreffende huisadres twee “F. Verweij”-en wonen, dan zit er bij ABN AMRO een compliance officer die aan de AP een datalek gaat melden, terwijl de wet dat niet voorschrift. Als een team van een voetbalvereniging kampioen is geworden in de vierde klasse van de regio, en de teamfoto wordt op het internet geplaatst zonder dat alle betrokkenen om toestemming is gevraagd, dan wordt dit zeer waarschijnlijk niet gemeld, terwijl de wet dat wel voorschrift. Voorts weten u en ik dat het feitelijk aantal lekken jaarlijks eerder in de miljoenen ligt; het vanuit een bepaalde optiek zeer hoge cijfer waarmee de AP paradeert, is een zeer povere afspiegeling van de werkelijkheid. Uw oplossingen kan ik evenwel niet plaatsen.

Meer duidelijkheid is altijd goed, maar omdat het begrip ‘persoonsgegevens’ in de AVG meerduidig en inconsistent wordt gebruikt, zou meer duidelijkheid eerst verschaft kunnen worden nadat de tekst ervan is opgekuist. Dat schijnt men nog niet van plan te zijn. Degenen die de inconsistente AVG in elkaar hebben geflanst, geven er de voorkeur aan de interpretatie en de duiding van wat er mogelijk in de AVG staat, over te laten aan rechters. We weten dus pas over een jaar of tien, vijftien wat nu eigenlijk in die AVG staat.

‘Onbeduidend’ is in deze context een zeer hachelijke term. Het aantal personen dat ‘getroffen’ is door een datalek, is hier geen betrouwbare graadmeter. Een datalek waarbij miljoenen niet al te best gepseudonimiseerde patientgegevens ‘op straat’ zijn komen te liggen, klinkt beduidend en ernstig, maar de feitelijke schade van dat datalek is mogelijk geringer dan het datalek dat ontstaat als een specialist het medisch dossier van 1 bij naam en toenaam genoemde persoon bij de kapper laat liggen. Voorts is het niet zeer realistisch te denken dat een wetgever die na dertig jaar broeden geen ordentelijke definitie van ‘persoonsgegevens’ in de AVG heeft kunnen opnemen, het onderscheid tussen ‘beduidende’ en ‘onbeduidende’ datalekken enigermate helder en duidelijk zou weten te trekken.

En, tja, we hebben momenteel te maken met een toezichthouder, de AP, die niet beschikt over de capaciteit (qua fte en qua kennisniveau) om de huidige regelgeving enigszins overtuigend te handhaven. Wat er aan datalekken door de AP geregistreerd wordt, wordt overwegend geregistreerd door zelfmeldingen van de bedrijven en organisaties waar deze lekken hebben plaatsgevonden. Het is niet te verwachten dat deze bedrijven deze steun aan de toezichthouder zullen voortzetten als de AP met de boetebevoegdheid gaat zwaaien. De AP moet het dan verder doen met het handjevol klokkenluiders waarvan de claims nooit of eerst na jaren bewezen kunnen worden, plus enkele tientallen burgers die door de AVG aan zijn gezet tot querulanten-gedrag en waarvan de claims de AP eigenlijk naast zich neer zou willen leggen.

Ik zie met u het probleem, maar ik zie in uw oplossingen geen oplossingen.