CPDP2019 Meldplicht datalekken - Waar zijn ze goed voor?
Op 30, 31 januari en 1 februari 2019 werd het jaarlijkse CPDP congres in Brussel gehouden. Op CPDP komen academici, advocaten, praktijkmensen, beleidsmakers, industrie en maatschappelijke organisaties van over de hele wereld samen om ideeën uit te wisselen en om problemen en trends te bespreken op het gebied van privacy en gegevensbescherming. En ik had de eer om op donderdag 31 januari tijdens een panel over datalekken te mogen vertellen wat de meldplicht datalekken voor impact heeft op de praktijk.
Voor veel Europese lidstaten is de meldplicht datalekken een nieuwe verplichting onder de AVG. Maar in Nederland kennen wij deze verplichting al sinds 1 januari 2016 onder de Wbp. Het was dus interessant om te vertellen over de afgelopen twee jaar en wat we daarvan hebben geleerd en wat er aan ontwikkeling op dit gebied is waar te nemen. Over die ontwikkelingen in Nederland hoef ik jullie natuurlijk niet te vertellen. Maar waar ik het wel over wil hebben, is dat tijdens het panel werd gesproken over naming & shaming van organisaties met de meeste datalekken. Dat zou de betrokkene in staat stellen om een keuze te maken, een keuze voor de organisatie met de minste datalekken omdat zij kennelijk een hoger beveiligingsniveau hebben. Maar klopt die aanname wel? Hierna geef ik vier argumenten waarom ik denk dat deze vorm van naming & shaming juist een tegengesteld effect heeft.
Tijdens onze sessie introduceerde een van de panelleden, prof. Dennis Hirsch, een interessante theorie. Prof. Hirsch heeft zich jarenlang met milieurecht bezig gehouden en trekt nu op bepaalde punten een parallel tussen milieurecht, privacy en de meldplicht datalekken. In Amerika is gebleken dat het goed werkt om jaarlijks een lijst met de 10 grootste vervuilers te publiceren. Het effect van deze naming & shaming heeft het positieve effect dat bedrijven meer hun best doen om niet op die lijst terecht te komen. Zijn idee is dat we dit mogelijk ook zouden kunnen introduceren als het gaat om datalekken. Een lijst van organisaties bij naam waaruit op te maken is wie de meeste datalekken heeft gehad het afgelopen jaar. In zijn ogen geeft dit de betrokkene echt een keuze. Een keuze om bijvoorbeeld voor een andere vliegtuigmaatschappij te kiezen als die maatschappij een groot datalek heeft gehad waarbij de persoonsgegevens van de betrokkene betrokken zijn. Of neemt de betrokkene kennis van de informatie over het datalek en boekt hij of zij de volgende zomer weer bij dezelfde maatschappij? De voorgestelde lijst van prof. Hirsch zou hier in zijn ogen wellicht een einde aan kunnen maken. Die lijst stelt de betrokkene in staat om bijvoorbeeld KLM met Transavia te vergelijken en te kiezen voor de maatschappij die het minste aantal datalekken heeft gehad, want die maatschappij zal kennelijk zorgvuldiger met persoonsgegevens omgaan.
Zoals ik al zei, ben ik niet van mening dat deze lijst leidt tot het gewenste effect en wel om de volgende vier redenen.
1. Het hebben van een datalek is niet altijd de schuld van de organisatie
Het is een gegeven dat een waterdichte beveiliging niet bestaat. Als een organisatie gehackt wordt, is het heel goed mogelijk dat dat niets te maken heeft met een gebrek aan passende beveiligingsmaatregelen. Of een ander voorbeeld, een organisatie die veel tijd en energie steekt in het trainen van de medewerkers zodat zij zich bewust zijn van wat een datalek is en wat je kan doen om te voorkomen dat er eentje optreedt, maar er ontstaat tóch een datalek omdat een medewerker per ongeluk een fout heeft gemaakt. En we weten allemaal, waar met mensen gewerkt wordt, worden fouten gemaakt. In beide gevallen kan dit leiden tot een melding aan de toezichthouder als er sprake is van een risico. Maar is dit dan toe te rekenen aan die organisatie of is dit gewoon pech hebben? En is het dan terecht dat de organisatie mogelijk op de lijst terecht komt en daarmee reputatieschade oploopt? In mijn ogen niet. Als je dit vergelijkt met milieurecht dan zijn de organisaties zich er vaak van bewust dat zij de regels overtreden omdat ze teveel vuile lucht uitstoten en besluiten evengoed om hier mee door te gaan. Het plaatsen van zulke organisaties op een dergelijke lijst mijns inziens meer te rechtvaardigen. Dat neemt niet weg dat ik de meldplicht zelf wel heel belangrijk vind. Want begrijp me niet verkeerd, ik ben niet van mening dat een organisatie, omdat het datalek niet toe te rekenen is aan de organisatie, het niet zou hoeven melden aan de toezichthouder. Ik ben alleen wel van mening dat je zo’n organisatie niet extra moet straffen door hen op een lijst te zetten want juist het melden van een datalek getuigd van een hoge security en privacybewustwording binnen de organisatie. Weten dat je met het melden van een datalek op een lijst terecht kan komen, leidt er wellicht toe dat organisaties ervoor kiezen om het de volgende keer niet te melden en dat komt de bescherming van privacy niet ten goede.
2. De risk appetite van de organisatie
De risk appetite van een organisatie is ook iets wat moet worden meegewogen. Hoe hoger de appetite hoe meer risico’s de organisatie zal nemen. Het feit dat organisaties weten dat zij mogelijk op een lijst komen te staan met naam en toenaam, is iets wat hen zal afschrikken. Vermeld staan op die lijst betekent reputatieschade; iets waar organisaties doorgaans zeer gevoelig voor zijn. Dus de kans dat organisaties met een hoge risk appetite ervoor zullen kiezen om geen melding bij de toezichthouder te maken, is zeer aannemelijk. Alleen al dit gegeven zal ervoor zorgen dat zo’n lijst mijns inziens niet betrouwbaar is en een verkeerd beeld geeft aan de betrokkene.
3. Onjuist inschatten van risico’s
Tijdens de paneldiscussie die na onze sessie was, gaf het panel tips over hoe om te gaan met datalekken. Een van de panelleden was een afgevaardigde van de EDPB. Zij vertelde over dat ze het afgelopen jaar hebben gezien dat er veel onterechte meldingen van datalekken zijn gemaakt. Want weten jullie nog, niet elk datalek hoeft gemeld te worden. Alleen die datalekken die een risico tot gevolg hebben, moeten worden gemeld. Zij gaf aan dat het duidelijk was dat veel organisaties ervoor kiezen om het zekere voor het onzekere te nemen en maar te melden. Better safe than sorry! Maar dat willen ze niet. Dit is eigenlijk een teken dat organisaties kennelijk niet goed in staat zijn om het risico in te schatten. Een voorbeeld, een organisatie stuurt per mail een document met daarin persoonsgegevens naar de verkeerder ontvanger. De verkeerde ontvanger geeft die bij de organisatie aan. De organisatie vraagt de verkeerde ontvanger de mail direct te verwijderen en of zij de mail geopend hebben. De verkeerde ontvanger zegt de mail niet geopend te hebben en geeft aan deze direct te verwijderen. De organisatie heeft kunnen controleren en kunnen vaststellen dat de mail niet geopend is geweest door de verkeerde ontvanger. Het feit dat de organisatie dit met zekerheid kan uitsluiten, betekent dat er geen risico aanwezig is en dus hoeft de organisatie dit niet te melden. Dit is een voorbeeld van een datalek wat bijvoorbeeld wél gemeld is. Dit was niet nodig, maar komt dus wel op het lijstje te staan van de organisatie en telt dus mee in het totaal overzicht van aantal gemaakte meldingen. Door dit soort onjuiste meldingen, zal die top 10 lijst wederom een verkeerd beeld geven aan de betrokkene.
4. Onvoldoende capaciteit bij de toezichthouder
Niet geheel onbelangrijk is de rol van de toezichthouder. Het is algemeen bekend dat de toezichthouder, in ieder geval in Nederland, onvoldoende capaciteit heeft om actief te handhaven. Het creëren van een lijst die eerlijke en juiste cijfers laat zien, levert een grote inspanningsverplichting op. De toezichthouder zal eerst het kaf van het koren moeten scheiden; alle meldingen die na beoordeling geen risico omvatten, moeten geschrapt worden en zouden niet mogen meetellen voor de lijst. Daarnaast zal de toezichthouder moeten inschatten of de datalekken aan de organisaties toe te rekenen zijn en zo niet, of het dan wel rechtvaardig is om die datalekken mee te laten tellen voor de lijst wat zal leiden tot reputatieschade voor de organisatie. In de combinatie van het voorgaande, het feit dat de toezichthouder over onvoldoende capaciteiten beschikt én het gegeven dat er in 2018 alleen al meer dan 10.000 meldingen zijn gedaan, zie ik een risico. Een risico dat de toezichthouder door tijds- en capaciteitsgebrek een automatische lijst zal generen die dus mijns onjuiste cijfers zal weergeven wat leidt tot een onjuist beeld en onterechte reputatieschade. Dus voorstander van een dergelijke lijst ben ik absoluut niet, in ieder geval niet in Nederland, want als het dan gaat om de keuze van de betrokkene dan leidt de keuze op basis van deze lijst onder deze voorwaarde tot de verkeerde keuze. De focus zou niet moeten liggen op organisaties die wel datalekken melden maar op organisaties die verhoudingsgewijs geen of veel te weinig datalekken melden. Dat is pas een risico, want dit getuigd mijns inziens van een gebrek aan bewustwording of erger nog, het willens en wetens achterhouden van datalekken die wel gemeld zouden moeten worden!