Lek systeem aan schandpaal

Dit blijkt uit onderzoek naar de ervaringen met de meldplicht in het buitenland, dat Research voor Beleid deed in opdracht van het ministerie van Economische Zaken. In verschillende landen bestaat al een dergelijke verplichting, zoals in de Verenigde Staten, Canada, Australië en Noorwegen. De Europese Commissie broedt op een richtlijn die een dergelijke melding verplicht stelt voor alle lidstaten. Rond de zomer valt daarover een besluit.De afgelopen jaren zijn verschillende grote incidenten geweest waarbij gevoelige informatie over burgers op straat kwam te liggen. Zo kwamen in 2008 de dossiers met persoonlijke gegevens van duizenden Britten publiek beschikbaar door fouten van het Britse ministerie van Gezondheidszorg en dat van Justitie. Hoe vaak persoonlijke gegevens worden ontvreemd, is onduidelijk. Veel organisaties houden de incidenten nu echter ‘onder de pet’. Die situatie maakt het burgers onmogelijk maatregelen te nemen om de schade te beperken, bijvoorbeeld door creditcards te blokkeren. Ook kunnen zij eventueel geleden schade door misbruik van hun gegevens niet verhalen. De meldplicht introduceren vereist echter ook een goed handhavingsbeleid. In het voorstel dat in Brussel voorligt, pleiten de toezichthouders voor de mogelijkheid boetes op te leggen aan organisaties die de plicht ontduiken. Research voor Beleid noemt bovendien nog het recht van de toezichthouder organisaties aan de schandpaal te nagelen wanneer achteraf blijkt dat zij de meldingsplicht hebben ontdoken. Ook kunnen er verplichte audits worden ingevoerd door forensische accountants of de toezichthouder.Het is nog onduidelijk voor wie de meldplicht gaat gelden. De Europese Commissie en de telecomministers van de listaten (Telecomraad) willen de plicht alleen de telecombedrijven opleggen. Het Europees Parlement en de privacytoezichthouders willen echter een veel bredere meldplicht. In de Verenigde Staten zijn binnen de afzonderlijke deelstaten alle bedrijven, overheden en andere organisaties die binnen de grenzen van de staat werkzaam zijn, verplicht incidenten te melden. “Het is zotternij de plicht alleen op te leggen aan telecom- en internetbedrijven”, vindt Niels Huijbregts, woordvoerder van XS4ALL. “Die plicht moet gelden voor iedereen die persoonsgegevens verzamelt.” Hij noemt juist ook overheidsorganisaties. Research voor Beleid waarschuwt in zijn rapport dat kleinere organisaties mogelijk niet kapitaalkrachtig genoeg blijken te zijn hun beveiliging op orde te krijgen. “Wanneer je dat niet kan, moet je niet beginnen aan het opslaan van persoonsgevoelige gegevens”, zegt Huijbregts. Volgens de onderzoekers van Research in Beleid is er nog onvoldoende ervaring met de meldplicht in het buitenland om uitspraken te doen over de effectiviteit van de meldplicht. Toch lijkt wel een effect op te treden, bijvoorbeeld in de Verenigde Staten waar volgens de onderzoekers sinds de invoering van de meldplicht de uitgaven aan beveiligingssoftware zijn gestegen. Ook nam het aantal congressen over gegevensbeveiliging toe. Het blijft echter onduidelijk of burgers zich onveiliger voelen nu duidelijker is hoe vaak de bescherming van hun gegevens faalt of dat zij juist blij zijn met openheid. Huijbregts: “Persoonlijke gegevens blijven altijd eigendom van die persoon, niet van de organisatie die ze beheert. Wanneer daar iets misgaat, is het op de hoogte stellen van de eigenaar het eerste dat moet gebeuren.”Research voor Beleid pleit voor goed flankerend beleid, zoals een centraal meldpunt, een klokkenluidersregeling en uitbreiding van de opsporingscapaciteit.