Bijdrage Gert-Jan Segers aan het plenair debat meldplicht datalekken

Met dank overgenomen van G.J.M. (Gert-Jan) Segers i, gepubliceerd op vrijdag 6 februari 2015.

Onderwerp:   Wijziging van de Wet bescherming persoonsgegevens en de Telecommunicatiewet in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens (meldplicht datalekken)

Kamerstuk:    33 662

Datum:           5 februari 2015

De heer Segers (ChristenUnie):

Voorzitter. Er staat een belangrijke waarde op het spel, en dat is privacy. Bij datalekken lopen mensen het gevaar dat ongevraagd en ongewild hun gegevens op straat of op de digitale snelweg belanden, met alle ellende van dien. In dat geval kan immers gemakkelijk misbruik van de situatie gemaakt worden. Het wetsvoorstel verplicht allen die met persoonsgegevens werken tot zorgvuldigheid, juist ook op de momenten dat het onverhoopt misgaat. Het wetsvoorstel is daarmee een terechte versterking van de positie van de burger.

Als waakhond is het College bescherming persoonsgegevens benoemd. Dat krijgt er nu een aantal belangrijke taken bij. De vraag is of het wetsvoorstel gaat werken. Met andere woorden: heeft het CBP effectieve instrumenten om te blaffen indien dit nodig is en te bijten als het echt niet anders kan? De fractie van de ChristenUnie is daar nog niet geheel van overtuigd.

Uit de laatste evaluatie van de Wet bescherming persoonsgegevens, gehouden in 2009, werd duidelijk dat de wet door zowel de overheid als het bedrijfsleven slecht wordt nageleefd. Een stevige en treurige conclusie. Er is genoeg aanleiding om tot nieuwe wetgeving te komen, zoals de wet die vandaag wordt besproken. Tegelijk moet ook worden opgemerkt dat veranderingen nooit alleen op wetgeving kunnen stoelen. Het komt ook aan op de houding van alle betrokkenen, op een cultuur waarin de waarde van privacy geëerbiedigd wordt. Welke voornemens heeft het kabinet op dit punt en hoe meet het eventuele verbeteringen en eventuele verslechteringen?

De keuze in het wetsvoorstel voor transparantie waar het misgaat, via de meldplicht, en de sanctionering indien dat verwijtbaar is, is een goede aanvulling op de gereedschapskist van het College bescherming persoonsgegevens. Wat die meldplicht betreft is het een goede zaak dat het CPB een vinger aan de pols kan houden, om de omvang en ernst van een aantal datalekken en de risico's die burgers lopen te kunnen vaststellen. Het bevreemdt dan ook dat de meldplicht opeens vervalt als er sprake is van een datalek bij versleutelde data. Ik zie de ratio daarvan niet. Graag ontvangen wij daarop een toelichting. Het amendement-Van Wijnbergen/Schouw/Oosenbrug biedt naar mijn mening op dit punt soelaas.

Extra verwonderlijk is het dat de memorie van toelichting vervolgens wel aan het college de kennis toeschrijft om op de hoogte te zijn van alle versleutelingstechnieken en die in een up-to-dateregister ook bij te houden. Daar zijn al vragen over gesteld, in ieder geval door de PVV-fractie en de SP-fractie. Ook zij vroegen: daar zijn toch andere instanties voor? Ik hoor graag een reactie van de staatssecretaris, en dan gaat het mij heel specifiek om de rol van het National Cyber Security Centrum, onderdeel van het NCTV.

Dan de invulling van de gereedschapskist, of anders gezegd: kan het college bijten? Dat was wel de wens van de Kamer bij het aannemen van de motie-Recourt. De boetebevoegdheid die nu wordt voorgesteld, wordt door het college als niet effectief gezien, simpelweg omdat moet worden aangetoond dat de overtreding willens en weten is begaan. Als dat niet lukt, moet er eerst een aanwijzing worden gegeven. Het is volstrekt logisch dat het college altijd probeert reparatoir te werken, maar er zijn situaties waarin daarmee niet alles gezegd is. De cameraploegen van VUmc zijn al vaak langsgekomen. Dat was een beeldende illustratie, een beeldende casus, waarbij zonder toestemming van patiënten opnames begonnen. Alles kon in beeld worden gebracht. Dan past stevig optreden in plaats van reparatie.

Ik vind het echt iets voor deze staatssecretaris om stevig op te treden. Dat ligt toch wel in zijn aard, zou ik zeggen. Waarom dan de angst om het college een boetebevoegdheid te geven waarvan het college zelf zegt: die bevoegdheid als ultimum remedium te zien? De boetebevoegdheid zal niet te pas en te onpas worden toegepast. Is de staatssecretaris bekend met de situatie in andere landen als het gaat om die boetebevoegdheid? Wat is de tendens in de nieuwe Europese richtlijn die binnenkort zal verschijnen? Samen met collega Schouw meen ik dat een waakhond in uitzonderlijke gevallen hoort te kunnen bijten. Vandaar ook ons amendement.

In de tweede nota van wijziging werd de verplichting voor het college toegevoegd om wetsinterpreterende beleidsregels te onderwerpen aan ministeriële goedkeuring. Dat is toch wat wonderlijk, want daarmee hebben de ministeries van Veiligheid en Justitie en Binnenlandse Zaken direct bemoeienis met de wijze waarop het toezicht op hun eigen doen en laten wordt vormgegeven en ingericht. Dat wringt toch? Ik heb met collega Schouw een amendement op dit punt ingediend en ik vraag de staatssecretaris om dat amendement ook te bezien in het licht van de Europese regelgeving en jurisprudentie.

Samenvattend is dit wetsvoorstel een verbetering van de huidige situatie, maar de staatssecretaris kiest toch voor een nogal zachte aanpak. Zo kennen wij hem niet. Gelukkig liggen er meerdere amendementen, die het geheel tot een stevig wetsvoorstel maken. Het doel moet zijn dat burgers zich beschermd weten en op de hoogte zijn als er zaken misgaan. Dan moet een toezichthouder in staat zijn om in te grijpen. De volgende evaluatie van de Wet bescherming persoonsgegevens moet een andere uitkomst hebben dan degene waar ik net aan refereerde. Ook na het vaststellen van dit wetsvoorstel zit het werk er daarom nog niet op.

In dat licht nog een laatste nabrander. Toen hier de Wet bescherming persoonsgegevens werd vastgesteld, werd er afgesproken om na vijf jaar te evalueren. Dat staat ook in de wet en heeft onder andere geleid tot het nu voorliggende wetsvoorstel. Het is mij onduidelijk wat het vervolg is. De wet spreekt niet over een vervolg, maar de resultaten van destijds geven daar wel aanleiding toe. Wanneer wordt deze wet tegen het licht gehouden en de werking ervan? Wellicht hoeft dat niet in een speciale evaluatie te gebeuren, maar kan het worden meegenomen als er anderszins privacygerelateerd onderzoek wordt gedaan. Dát wij nog een keer kritisch naar deze wet moeten kijken, lijkt mij wel wenselijk.

Voor meer informatie: www.tweedekamer.nl.