Quinten Kroes
Bedrijven doen er goed aan hun informaticahuishouding serieuzer te gaan nemen. Vorige week begon de Britse privacywaakhond een onderzoek naar een advocatenkantoor dat gegevens van meer dan 13.000 internetgebruikers was verloren die het verdacht van het illegaal downloaden van (porno)films en wier namen vervolgens op internet opdoken. In augustus legde de Britse financiële toezichthouder een recordboete op van £ 2.275.000 aan verzekeraar Zürich International omdat die gegevens van zo'n 1 47.000 klanten was kwijtgeraakt. Of beter: omdat die waren verloren door de Zuid- Afrikaanse zustermaatschappij waaraan de IT was uitbesteed. Concreet ging het om een onversleutelde back-uptape die bij een transport was vermist geraakt. Daarop stonden bankrekening- en creditcardgegevens en informatie over verzekerde inboedel van klanten en hun beveiligingssystemen. De  toezichthouder rekende het de verzekeraar zwaar aan dat deze zijn klanten met dit lek had blootgesteld aan reële risico's (op onder meer inbraak). Het hielp ook niet dat het een jaar duurde voordat de Britse vestiging lucht had gekregen van dit bedrijfsongeval.

Ook in Nederland zijn er gelukkig regels om dit soort situaties tegen te gaan. Op grond van de Wet bescherming persoonsgegevens moeten bedrijven die hun dataverwerking uitbesteden, bepaalde minimum beveiligingseisen contractueel opleggen aan hun IT-partner. Bovendien moeten zij erop toezien dat die ook worden nageleefd. Bevindt de IT-dienstverlener zich in een land dat geen toereikende privacyregels kent, dan gelden nog strengere regels.
Toch zijn er hier geen gevallen bekend waarin een datalek werd beboet. Komen die hier dan niet voor? Dat is onwaarschijnlijk als we bedenken dat al sprake kan zijn van een datalek bij verlies van een smartphone of laptop, van een gegevensdrager in de post of een naar een verkeerd e-mailadres verstuurd databestand. Een meer aannemelijke verklaring is dat het College Bescherming Persoonsgegevens (CBP) geen boetes kan opleggen voorverlies van persoonsgegevens. Maar mogelijk speelt ook mee dat data- lekken voor de toezichthouder (en de consument) verborgen blijven. Als het aan de wetgever ligt, komt daar binnenkort verandering in.
Op grond van Europese regels zal naar verwachting in de loop van volgend jaar voor telecomaanbieders de verplichting worden ingevoerd om datalekken 'onverwijld' te melden aan zowel de consumenten die daardoor getroffen zijn als aan toezichthouder Opta, de Onafhankelijke Post- en Telecomautoriteit. Opta kan veel hogere boetes opleggen dan het CBP. Bovendien zullen naar het zich nu laat aanzien ook bedrijven buiten de telecomsector niet aan een meldplicht ontkomen. Zowel de Tweede Kamer als de minister van Justitie heeft zich al voorstander getoond van een bredere meldplicht. Het zal dus een kwestie van tijd zijn voordat alle bedrijven bij een datalek met de billen bloot moeten. Tel daarbij op het voornemen van de wetgever om het CBP meer handhavingsbevoegdheden te geven, en er is alle aanleiding voor bedrijven om hun informatiebeveiliging nog eens grondig door te lichten voor­dat dc toezichthouder dat voor hen komt doen.
Quinten Kroes is advocaat en counsel bij Allen & Overy LLP..