- Door
- Edwin Feldmann
- geplaatst op
- 17 augustus 2011 08:07 uur
De meldplicht die ingevoerd moet worden voor aanbieders van communicatiediensten, zal niet veel effect hebben. Hoewel de wet wel nuttig kan zijn, zijn er nog teveel onduidelijkheden.
Dat stelt Frederik Zuiderveen Borgesius, promovendus bij het Instituut voor Informatierecht van de Universiteit van Amsterdam, in het blad Computerrecht dat vandaag uitkomt.
De meldplicht, die onderdeel uitmaakt van de artikel 11.3 van de vernieuwde Telecomwet, blijkt nog een aantal onduidelijkheden te bevatten. Zo is er discussie mogelijk wat er onder datalekken moet worden verstaan. Onder de huidige definitie valt bijvoorbeeld het verlies van een laptop of usb-stick met daarop persoonsgegevens niet onder de meldplicht. Hierdoor is het onduidelijk in welke gevallen betrokkenen ingelicht moeten worden.
Meldpunt
Ook over het melden zelf, bestaan nog veel vragen. Zo zouden datalekken moeten worden gemeld aan een nog op te richten meldpunt die de meldingen doorstuurt naar de OPTA. Dat meldpunt moet behalve datalekken ook meldingen over veiligheidsinbreuken op netwerken registreren.
Bovendien is het effect van de meldplicht beperkt omdat het nu alleen geldt voor internet access providers en bedrijven die telefonie aanbieden. De meldplicht is dus niet van toepassing op bijvoorbeeld aanbieders van hostingdiensten, online forums,social networksites, webwinkels, online banken, besloten gebruikersgroepen en bedrijfsnetwerken.
De meldplicht schrijft voor dat aanbieders van communicatiediensten ‘inbreuken in verband met persoonsgegevens’ gaan melden als de inbreuk ‘waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer’. Maar er bestaat volgens de jurist nog weinig duidelijkheid over wat verstaan moet worden onder ‘waarschijnlijk ongunstige gevolgen’.
De EU-lidstaten dienden deze nieuwe richtlijn op 25 mei van dit jaar geïmplementeerd te hebben, maar Nederland heeft – net als veel andere lidstaten – deze deadline gemist. Op dit moment ligt het voorstel voor de meldplicht bij de Eerste Kamer.
Argumenten
Volgens Zuiderveen Borgesius deugt de belangrijkste reden waarom de richtlijn wordt ingevoerd niet. Zo zouden gedupeerden van datalekken maatregelen kunnen nemen om misbruik van identiteitsgegevens te voorkomen (zoals het blokkeren van bankpassen). Maar het aantonen van een verband tussen datalekken en identiteitsdiefstal is erg moeilijk, betoogt Zuiderveen Borgesius.
Ook zou de wet ervoor zorgen dat consumenten na een melding van weggelekte privégegevens kunnen overstappen naar een andere aanbieder. “Het is echter de vraag of veel abonnees van aanbieder zouden wisselen naar aanleiding van een datalek. Het overstappen naar een concurrent brengt kosten(tijd en moeite) met zichmee. Daarbij komt dat het moeilijk is om te beoordelen of de andere aanbieder zijn beveiliging wel goed op orde heeft.”
Tot slot willen de beleidsmakers er met de wet voor zorgen dat bedrijven worden gestimuleerd om goede beveiliging te gebruiken. “Dit klinkt aannemelijk, maar een meldplicht garandeert echter niet dat communicatiediensten optimaal worden beveiligd. Daarvoor zijn meer maatregelen nodig”, aldus Zuiderveen Borgesius.