T02105

Toezegging Bevorderen opnemen in de richtsnoeren van het College bescherming persoonsgegevens van een minimale bewaartermijn van gemelde datalekken van een jaar (33.662)



De Staatssecretaris van Veiligheid en Justitie zegt de Kamer, naar aanleiding van vragen en opmerkingen van de leden Gerkens (SP) en Franken (CDA), toe dat hij in een gesprek met het College bescherming persoonsgegevens, onder de nieuwe wet de Autoriteit persoonsgegevens geheten, de wens zal overbrengen om in de richtsnoeren in ontwikkeling vast te leggen dat de bewaartermijn van het overzicht dat een verantwoordelijke moet bijhouden van de gemelde datalekken minimaal een jaar zou moeten zijn.  


Kerngegevens

Nummer T02105
Status voldaan
Datum toezegging 26 mei 2015
Deadline 1 januari 2016
Verantwoordelijke(n) Staatssecretaris van Veiligheid en Justitie
Kamerleden prof. mr. H. Franken (CDA)
A.M.V. Gerkens (SP)
Commissie commissie voor Veiligheid en Justitie (V&J)
Soort activiteit Plenaire vergadering
Categorie overig
Onderwerpen Autoriteit Persoonsgegevens
bewaartermijnen
Cbp
richtsnoeren
Kamerstukken Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp (33.662)


Uit de stukken

Handelingen I 2014-2015, nr. 32, item 10, blz. 3

Mevrouw Gerkens (SP):

In de beantwoording zegt de staatssecretaris dat het aan de beoordeling van de aanbieder zelf is hoelang hij het overzicht van inbreuken moet bewaren. Hierop staat dezelfde boete als op het niet naleven van de meldplicht. Dat kan echt niet. Er staat een behoorlijke boete op het spel. Het bewaren van documenten loopt van twee jaar tot levenslang. Mijn fractie zou willen voorstellen dat in ieder geval het CBP aangeeft hoelang deze informatie bewaard dient te worden, zodat dat bij ingang van deze wet voor iedereen helder is. Ik kijk uit naar de beantwoording.

Handelingen I 2014-2015, nr. 32, item 12, blz. 1-2

Staatssecretaris Dijkhoff:

Mevrouw Gerkens heeft een vraag gesteld over de exacte bewaartermijn. Dat is lastig. De termijn is gesanctioneerd. Het gaat natuurlijk niet om het bewaren van al die gegevens of de privacy rond al die data. Het gaat echt om het lek. Wij vinden het dan wat te mager om de gedachte te laten postvatten: ik heb het bij de autoriteit gemeld, die bewaart het wel. Je hebt een eigen verantwoordelijkheid om te kunnen terugzien in de ontwikkeling van het bedrijf wat de voorgeschiedenis was. Was het de eerste keer? Is het een herhaalprobleem? Zit het in het falen van het beleid of is er niet genoeg aandacht voor? Heel bepaald vinden wij het dan ook lastig om het heel exact te doen, vooral omdat vanwege de technologie de bezwaarlijkheid van het bewaren van dit soort gegevens is afgenomen. Wij hebben het immers waarschijnlijk niet over rijen ordners die je tien jaar lang moet bewaren. Er zit een gradatie in het belang en de ernst van de zaak. Als we dit aan de verantwoordelijkheid laten van de ondernemer zelf, kan er ook intern lang genoeg worden teruggeblikt en kunnen er lessen worden geleerd uit wat er is gedaan met een vorig probleem. De bewaarplicht op termijn zou ook nog het effect kunnen hebben dat de gegevens automatisch verwijderd worden na die termijn. Dat kan natuurlijk jammer zijn, in die gevallen waar het informatie betreft die nuttig kan zijn voor het voorkomen en verhelpen van toekomstige problemen.

Mevrouw Gerkens (SP):

Maar ik wil juist voorkomen dat mensen gegevens veel te snel weggooien. Misschien kan de staatssecretaris ons aangeven dat dergelijke gegevens minimaal een aantal jaar bewaard moeten worden. Op den duur zijn ze toch verouderd, want de systemen verouderen, maar ik kan mij voorstellen dat een minimale bewaartermijn van vijf jaar al behoorlijk redelijk is.

Staatssecretaris Dijkhoff:

Ik zoek dan een beetje aansluiting bij de Telecommunicatiewet, niet omdat daar wel een termijn in staat, maar omdat ook daar geen termijn in staat en de systematiek hetzelfde is. In de telecomsector gaan de ontwikkelingen erg snel, waardoor men zelf doorgaans een termijn van twee tot drie jaar hanteert. Dat heeft ook te maken met wat mevrouw Gerkens al aangaf: de omloopsnelheid van systemen. Het lijkt me daarom verstandig dat een bedrijf zelf dat beleid voert en zelf bekijkt welke informatie erg systeemgebonden is en welke meer gebonden is aan de bedrijfscultuur. We denken echter wel in jaren en niet in maanden, al was het maar omdat, als er een sanctie aan gekoppeld is of als het proces van het informeren van burgers van wie de data potentieel in verkeerde handen zijn gevallen nog loopt, er tijd overheen gaat en je een jaarlijkse verantwoordingscyclus hebt. Je moet kunnen terugblikken om verantwoording af te kunnen leggen. Een exacte bewaartermijn, generiek, voorzie ik dus niet. Ik acht het heel wel mogelijk dat het CBP bij het vaststellen van de richtsnoeren en meer specifiek bij het type probleem een indicatie kan geven van de bewaartermijn. De Kamer kan daar dan over geïnformeerd worden.

Handelingen I 2014-2015, nr. 32, item 10, blz. 4

De heer Franken (CDA):

Ten tweede had ik toegezegd dat ik in tweede termijn nog met een enkele praktische vraag zou komen. Mevrouw Gerkens heeft die vraag al gesteld. Deze betreft het overzicht dat een verantwoordelijke moet bijhouden van de gemelde inbreuken. De bewaartermijn is niet voorgeschreven. In de memorie van antwoord is duidelijk gemotiveerd waarom dat niet zou moeten. De staatssecretaris is daarop nog eens ingegaan. Mevrouw Gerkens heeft gezegd dat je toch aan minstens vijf jaar moet denken. Mij lijkt dat erg veel. Ik zou als criterium aan willen houden dat de gegevens zolang bewaard moeten worden dat er voor het College bescherming persoonsgegevens een redelijke mate of misschien zelfs aanzienlijke mate, om maar een bekende kreet uit artikel 34 over te nemen, is om goed onderzoek te verrichten. Als zij niet gedurende een jaar worden opgeslagen, lijkt mij de kans voor het CBP gering. Het overzicht zal dus minimaal een jaar moeten worden bijgehouden en bewaard. Hierover hoor ik graag een toezegging van de staatssecretaris.

Handelingen I 2014-2015, nr. 32, item 10, blz. 5

Staatssecretaris Dijkhoff:

De heer Franken heeft gevraagd of ik kan toezeggen dat de termijn minimaal een jaar is. Ik kan toezeggen dat ik deze wens zal overbrengen in het gesprek met het College bescherming persoonsgegevens, dat zijn richtsnoeren hieromtrent zelfstandig maar wel in overleg moet vaststellen. Ik deel deze wens ook; een jaar is wel het minste. Zoals ik al zei, wordt in de sector zelf vaak twee à drie jaar logisch gevonden. Wel wil ik dit in richtsnoeren ook brengen als een eigenstandige verplichting voor de organisatie, niet alleen gekoppeld aan de mogelijkheid tot het doen van onderzoek, om te voorkomen dat een organisatie denkt: ik heb het gemeld, dus neem aan dat ze het zelf bewaren. Het gaat namelijk om het bewaren van aan het CBP gemelde datalekken.



Historie