Meldplichtklaar?

Trendy ja, nieuw nee. De juridische figuur van een melding van een vaststaande gebeurtenis of onzeker voorval is zo oud als de weg naar Rome. Het begon ooit met afspraken tussen partijen vastgelegd in een overeenkomst. Zo kan een contract bepalen dat wanneer er dit gebeurt of een partij dat wil, er een informatieplicht ontstaat ten overstaan van wederpartij of derde. Wellicht vormen verzekeringsovereenkomsten het ultieme voorbeeld. Schade moet eerst gemeld worden, alvorens een claimprocedure überhaupt start. Maar zelfs in de precontractuele fase hebben partijen een verregaande informatieplicht omtrent zo ongeveer alles wat belangrijk is met het oog op de beoogde overeenkomst, die ze met elkaar willen aangaan. Dat loopt nogal eens fout bij softwareontwikkeling op maat.

Nu zien we in toenemende mate de wetgever naar de meldplicht grijpen. Ook die ontwikkeling is nader beschouwd niet nieuw. Wettelijke meldplichten bij schending van staatsgeheimen, bij het verrichten van ongebruikelijke financiële transacties en bijvoorbeeld bij openbaarmaking van koersgevoelige informatie van ten beurze genoteerde bedrijven stammen uit de vorige eeuw. Van recentere datum zijn daarentegen allerlei wetsvoorstellen - van Nederlandse of Europese origine - met betrekking tot het voorschrijven van meldingen bij ICT-gerelateerde incidenten. Van storing tot en met het doorbreken van beveiliging. Een heuse trend.

De Eerste Kamer nam onlangs het wetsontwerp meldplicht datalekken aan. Verantwoordelijken, dat zijn overheidsorganisaties en bedrijven die persoonsgegevens verwerken zoals personeelsinformatie en klantgegevens, moeten een ‘lek’ gaan melden. Hierbij gaat het om een incident waarbij kans op verlies of onrechtmatige verwerking van persoonsgegevens bestaat. Maximale boete voor verzuim: tot zegge en schrijve 810.000 euro of tien procent van de omzet Dat liegt er niet om. Dan ligt het voorstel voor de Wet melding inbreuken elektronische informatiesystemen ter tafel. De sleutelbepaling betreft (in tegenstelling tot de Wet meldplicht datalekken) geen 'brede' (voor iedereen) maar 'smalle' meldplicht, uitsluitend voor aanbieders van producten of diensten waarvan de beschikbaarheid of betrouwbaarheid van vitaal belang is voor de Nederlandse samenleving, en alleen als de inbreuk tot gevolg heeft of kan hebben dat die beschikbaarheid of betrouwbaarheid in belangrijke mate wordt onderbroken.

Nog een legislatieve blauwdruk. De Europese Commissie werkt sinds 2012 aan de Algemene Verordening Gegevensbescherming (AVG), die uiterlijk volgend jaar onze Wet bescherming persoonsgegevens vervangt. Raad eens. Deze regeling kent tevens een meldplicht en eveneens de geldboete ter grootte van maximaal 810.000 euro. Bingo. Dat belooft wat met big data.

Meldplichten beogen veelal preventie. Het voorkomen en beperken van schade of misbruik. Sommigen verwachten mede een maatschappelijke gedragsverandering, bijvoorbeeld dat overheidsorganisatie en bedrijf hun ICT beter gaan beveiligen. Aangescherpte sancties en strikter toezicht fungeren als modern zwaard van Damocles. Hier regeert de angst. Vandaag zeggen we daarnaast dat transparantie een groot goed is en onmisbaar voor het scheppen van vertrouwen in het maatschappelijk verkeer. Daarin past inderdaad informatievoorziening in soorten en maten, al dan niet van dwingendrechtelijke aard.

Meldplichten voor ICT-gerelateerde incidenten vinden hun grondslag in verschillende rechtsgebieden, zoals privacyrecht en telecommunicatierecht. Sommige zijn smal, andere breed. De ene keer moet er uitsluitend aan een van de toezichthouders worden gemeld — College bescherming persoonsgegevens, Agentschap Telecom of National Cyber Security Centrum — de andere keer mede aan betrokkene (degene om wiens persoonsgegevens het gaat). Bovendien volgt wetgeving elkaar soms snel op. De zojuist vastgestelde meldplicht lekken van persoonsgegevens is zelfs nog niet van kracht, maar zal snel het veld ruimen voor de beoogde pan-Europese privacyregeling met directe werking.

Dit mag niemand verrassen. Verwarring en aansprakelijkheid trekken in het digitale meldplichtdomein gelijk op met de stijging van de verplichtingen en met de verhoging van administratiefrechtelijke boetes. Wie weet immers inhoudelijk wanneer er precies wat moet worden gemeld en formeel op welke wijze en aan welke partij? En met de exponentiële stijging van geldboetes stijgt de kans op aansprakelijkheid door verzuim. Geen prettig vooruitzicht.

Mr. V.A. de Pous is bedrijfsjurist en industrie-analist