Plenair Ter Horst bij behandeling Meldplicht datalekken



Verslag van de vergadering van 26 mei 2015 (2014/2015 nr. 32)

Status: gecorrigeerd

Aanvang: 15.26 uur


Mevrouw Ter Horst i (PvdA):

Voorzitter. Ik dank mevrouw Gerkens dat ik vóór haar mag spreken. Ook feliciteer ik de staatssecretaris namens mijn fractie. Ik wens hem veel succes.

De PvdA-fractie dankt de staatssecretaris voor de in de memorie van antwoord opgenomen reacties op haar vragen. In het voorlopig verslag heeft zij aangegeven dat zij het bieden van de mogelijkheid aan het College bescherming persoonsgegevens om een bestuurlijke boete op te leggen, positief beoordeelt. De verplichting om een overzicht bij te houden van potentiële of echt ernstige lekken, die de melder zelf aan de toezichthouder heeft gemeld, en de meldplicht zelve vindt zij een goede zaak. Wel heeft zij beargumenteerd dat het geven van een eventueel bindende aanwijzing vooraf in de meeste gevallen geïndiceerd is. Deze noodzaak wordt vooral ingegeven door de onduidelijkheid over de vraag of een datalek daadwerkelijk aan het College bescherming persoonsgegevens dan wel aan betrokkenen moet worden gemeld. Hierin schuilt naar de mening van mijn fractie de zwakte van het wetsvoorstel. Haar vragen hadden dan ook daarop betrekking. Daarom is het nu aan haar om te beoordelen of de antwoorden van de staatssecretaris haar verder hebben geholpen. Eerlijk gezegd is dat niet het geval geweest.

Het soort datalek waarvan verplicht melding wordt gemaakt, wordt in het wetsvoorstel als volgt omschreven. Ik citeer dezelfde woorden als de heer Franken: "een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens". Zowel de term "aanzienlijk" als de term "ernstige" behoeft operationalisatie. In de memorie van antwoord hebben wij helaas niets kunnen aantreffen wat tot een nadere specificatie van deze termen leidt, anders dan de opmerking dat het College bescherming persoonsgegevens richtsnoeren gaat opstellen. Wij kennen die richtsnoeren niet, dus kunnen niet beoordelen of deze de beoordeling vergemakkelijken om wel of niet te melden. Graag vragen wij de staatssecretaris of hij ons al iets over die richtsnoeren en de omvang ervan kan meedelen en of hij die aan de Eerste Kamer wil zenden, zodra ze bekend zijn, zodat zij zich daar te zijner tijd een oordeel over kan vormen. De staatssecretaris geeft overigens in reactie op vragen van D66 wel een aantal voorbeelden van gevallen waarin wel en wanneer niet moet worden gemeld. Die heb ik natuurlijk goed bekeken, maar mijn constatering was dat de nuances voor wanneer wel of wanneer niet moet worden gemeld, zo gering zijn dat de vrees bij de Partij van de Arbeid alleen maar is toegenomen dat — ook hier mijn excuses aan de heer Franken — "better safe than sorry" de praktijk zal worden. Immers, op wel melden staat geen straf en op niet melden staat wel een straf. Wij vrezen dat dit tot een hausse aan meldingen zal leiden. De PvdA-fractie zou graag zien dat aan het College bescherming persoonsgegevens wordt gevraagd om jaarlijks over de aard en omvang van de meldingen van datalekken te rapporteren.

Tot slot. De staatssecretaris heeft in reactie op een vraag van een collega van het CDA een overzicht opgenomen van thans of binnenkort geldende meldplichten die betrekking hebben op de bedrijfsvoering in de private of publieke sector. Als ik goed geteld heb, zijn dat er elf. Er zijn dus elf meldplichten. De staatssecretaris geeft dat overzicht, waarvoor dank, maar verbindt daaraan geen conclusies. De PvdA-fractie zou graag van de staatssecretaris vernemen of hij verrast was door dit aantal. Er zit immers een nieuwe staatssecretaris. Misschien dacht hij ook: oei, dat zijn er wel erg veel! Was hij verrast door dit aantal? Meent hij dat het voor bedrijven nog doenlijk is om al deze meldplichten bij en uit elkaar te houden?

Ik sluit positief af. De overige punten die door de PvdA-fractie aan de orde zijn gesteld, zoals bestuurlijke strafbeschikking in plaats van of naast een bestuurlijke boete, strafbaarstelling in plaats van een bestuurlijke boete en de hoogte van de boete, zijn door de staatssecretaris naar grote tevredenheid beantwoord. Wij wachten gespannen op zijn beantwoording van de vragen die wij nu hebben gesteld.