Allerhande wetgevingsinitiatieven duikelen over elkaar heen. Alles op de schop, zo luidt het beklijvende mantra voor de informatiemaatschappij, waar privacy- en informatiebeveiliging de actuele juridische agenda domineren. Terwijl overheden registratie, opslag en toegang tot informatie eisen, worstelen ondernemers met nakoming van telkens uitdijende en bovendien wisselende wettelijke voorschriften. Dat gaat niet goed.
Let op. Straks, invoeringsdatum nog onbekend, hoeven websites voor analytische cookies weliswaar geen expliciete toestemming van de internetgebruiker meer te vragen. Deze categorie bestandjes mag echter pas worden geplaatst wanneer een gebruiker, die een cookiewaarschuwing negeert, een aantal malen op de bewuste website doorklikt. Na 2,5 jaar aanmodderen, wordt de Cookiewet aangepast. Hierbij gaat het om een treffend voorbeeld van laagkwalitatieve wetgeving, waar menig bedrijf en overheidsorganisatie zich in verslikte, tot de publieke omroep aan toe. Zo werd de NPO een dwangsom van 25 duizend euro opgelegd door toezichthouder ACM. Nakoming blijft overigens problematisch, nu de wettelijke regels er nauwelijks eenvoudiger op zijn geworden.
We weten het wel. Cloud computing vormt de drijvende kracht achter veel bestaande en ontluikende ict-toepassingen. Van big data tot het internet of things. Sterker nog, in toenemende mate gelden clouddiensten als synoniem voor ict. Ondanks de vooruitgang, staat vertrouwen in de informatiemaatschappij fors onder druk. Welke overheden hebben toegang tot onze bedrijfsinformatie? Zijn leveranciers verplicht mee te werken aan inzageverzoeken en worden persoonsgegevens in de cloud wel goed beveiligd tegen verlies, diefstal en misbruik, mede gelet op de talrijke en omvangrijke digitale inbraken? De discussie over informatiebeveiliging en de bescherming van de persoonlijke levenssfeer domineert. Die manifesteert zich nadrukkelijk legislatief.
Aangescherpt regime
Europa gaat dit jaar eindelijk de in januari 2012 geïntroduceerde Algemene Verordening Gegevensbescherming (AVG) vaststellen, waardoor onze Wet bescherming persoonsgegevens ingetrokken wordt en er in de interne markt een uniform en aangescherpt regime komt voor de verwerking van persoonsgegevens. Met rechtstreekse werking en dwingend van karakter. Geen nationale afwijking mogelijk, inclusief de beoogde aangescherpte en nieuwe privacyrechten, strikte beveiligingsvoorschriften, nieuwe meldplichten en zware sancties bij overtreding. Zo wordt het niet melden van een verwerking van persoonsgegevens gezien als een economisch delict en dus strafbaar, op grond van het Wetboek van Strafrecht.
In het domein cybersecurity ligt er sinds februari 2013 een communautaire richtlijn ter tafel, de Richtlijn voor netwerk- en informatiebeveiliging. Dit ontwerp bepaalt onder meer dat exploitanten van een essentiële infrastructuur in een aantal sectoren (financiële dienstverlening, vervoer, energie, gezondheidszorg), aanbieders van diensten van de informatiemaatschappij (met name app stores, platformen voor elektronische handel, betalingsdiensten via internet, cloud computing, zoekmachines en sociale netwerken) en overheden risicobeheersregelingen moeten invoeren en tevens ernstige incidenten met betrekking tot hun kerndiensten moeten melden. Over de reikwijdte bestaat nog geen consensus.
Met al het wetgevingsgeweld uit de Europese Unie zou je bijna vergeten dat Nederland een soevereine staat is met een in de Grondwet verankerde bevoegdheid tot het maken van autonome wetgeving. Dat gebeurt natuurlijk ook. Zo gaat de regering de Wet bewaarplicht telecommunicatiegegevens aanpassen naar aanleiding van het Digital Rights Ireland en Seitlinger arrest. Het Hof van Justitie van de Europese Unie verklaarde op 8 april 2014 de Europese Richtlijn gegevensbewaring met terugwerkende kracht ongeldig wegens schending van grondrechten. Onze wet betreft de uitwerking van deze richtlijn. Het kabinet verzwaart onder meer de eisen voor toegang tot de telecommunicatiegegevens.
Onderscheid ether en kabel verdwijnt
Verder wordt de Wet op de inlichtingen- en veiligheidsdiensten aangepast, waardoor onder meer het onderscheid tussen de ether en kabel verdwijnt. Uit oogpunt van terrorismebestrijding wil het kabinet tevens de diensten onder voorwaarden toestaan om op de kabel ruwe telecommunicatiegegevens te onderscheppen.
Terwijl de huidige Wet bescherming persoonsgegevens (WBP) sowieso wordt ingetrokken, en vervangen door de Europese AVG, blijft het kabinet vasthouden aan het voornemen onze privacywet nog voor de inwerkingtreding van de Algemene Verordening Gegevensbescherming te wijzigen met het oog op de invoering van een meldplicht bij doorbreking van maatregelen voor de beveiliging van persoonsgegevens en de uitbreiding van de bevoegdheid van het College bescherming persoonsgegevens (CBP) om bij overtreding van het bepaalde bij of krachtens de WBP een bestuurlijke boete op te leggen.
Eerder uitte de Raad van State forse kritiek op de meldplicht, zoals geregeld in het eerste wetsvoorstel, dat overigens veel te vaag is, nu tekent het CBP onder meer bezwaar aan tegen wijzigingen om administratiefrechtelijke boetes op te leggen. In het laatste voorstel stijgt de maximale sanctie van 4500 euro tot weliswaar 810.000 euro, maar volgens voorzitter Jacob Kohnstamm is dit voorstel slecht: het betreft teveel voorwaarden voordat een boete kan worden opgelegd.
Los van de inhoudelijke bezwaren, blijft het opmerkelijk dat het kabinet slechts voor korte duur ingrijpende wetswijzigingen wil doorvoeren. Met de aanstaande inwerkingtreding van de AVG, nu in 2016 voorzien, komt er ook een meldplicht bij datalekken en wordt de maximale boete die een toezichthouder kan opleggen honderd miljoen euro of 5 procent van de wereldwijde omzet van een onderneming. Maar nu wil een meerderheid in de Tweede Kamer ineens dat het CBP meteen een boete tot 810.000 euro kan opleggen. De staatssecretaris voelt daar wel voor. En dat, terwijl ook deze mogelijke nieuwe bepaling, sowieso weer snel gaat worden ingetrokken.
Dit artikel is eerder verschenen in Computable magazine jaargang 48, nummer 3 van maart 2015.
Problemen
Zowel normstelling als naleving van privacygerelateerde wetgeving tonen zich problematisch. De factoren zijn divers van aard. Allereerst ontbeert de politiek een juridisch vergezicht voor de informatiesamenleving en schittert zij vaak door ad-hoc beleid. Daarnaast weegt mee dat Nederland ook binnen de Europese Unie een soevereine staat blijft, die autonome regels opstelt, bedrijven. Ondertussen zien organisaties zich telkens geconfronteerd met meer en uiteenlopende wettelijke voorschriften, die bovendien snel veranderen en soms van slechte kwaliteit zijn. Dat vraagt allemaal om problemen. Wie durft er nog op naleving te rekenen, terwijl compliance in de informatiemaatschappij, mede gelet op schaalgrootte van het gebruik van ict, sowieso onder druk staat?
