De zoveelste digitale meldplicht is van kracht geworden

Wie zijn oor te luisteren legt, hoort bij leverancier en gebruikersorganisatie telkens dezelfde afkorting: AVG, AVG en nog eens AVG. De devote aandacht voor de Algemene Verordening Gegevensbescherming, met daarin opgenomen een meldplicht voor een datalek voor de gegevensverantwoordelijke, bindt de kat op het spek. Men vergrijpt zich vrijwel letterlijk aan deze Europese privacywet, die vanaf 25 mei 2018 van toepassing is. Met als gevolg dat andere regels voor digitale technologie, onder meer voor wettelijke meldplichten, geheel ondersneeuwen. Ronduit onverstandig.

Zo heeft de Eerste Kamer deze zomer het eerste wetsvoorstel aangenomen dat specifiek over cybersecurity gaat. Dat betreft de Wet gegevensverwerking en meldplicht cybersecurity (Wgmc), die naar verwachting ieder moment in werking kan treden.

Volgens onze regering is het belangrijk dat het Nationaal Cyber Security Centrum (NCSC) goed zicht heeft op grote digitale veiligheidsincidenten. Dit geldt met name voor incidenten bij de Rijksoverheid en vitale aanbieders, aangezien deze incidenten grote consequenties voor onze samenleving en economie kunnen hebben. Het NCSC informeert organisaties over deze dreigingen en biedt waar nodig ondersteuning. De Wgmc vormt een belangrijke basis voor deze publiek-private samenwerking. Zo biedt de wet een kader voor de wijze waarop het NCSC met vertrouwelijke informatie moet omgaan. Daarnaast worden nu ook de wettelijke grondslag van de taken en bevoegdheden van het NCSC vastgelegd.

Nu komt het. In de wet is tevens een meldplicht opgenomen voor ernstige digitale veiligheidsincidenten die de samenleving kunnen ontwrichten. Deze meldplicht geldt voor bepaalde incidenten en bepaalde aanbieders. Door deze vitale organisaties wettelijk te verplichten tot het melden van ICT-inbreuken, kan het NCSC de risico’s voor de samenleving inschatten èn hulp verlenen aan de getroffen organisatie, luidt de verwachting. Bovendien is het NCSC op deze wijze in staat anderen te waarschuwen en te adviseren over oplossingen.

Opnieuw hebben we dus te maken met meldplicht ten aanzien van een ICT-gerelateerd incident. De categorie ‘digitaal incident’ betreft een eigen (container)begrip, dat we als zodanig hebben benoemd om de verschillende wettelijke en contractuele meldplichten voor digitale incidenten, inbreuken en wat dies meer zij (technologie en data) ergens onder te brengen en te rubriceren, opdat adequaat meldplichtbeleid per organisatie op maat gemaakt kan worden.

Op grond van de Wet gegevensverwerking en meldplicht cybersecurity – dit betreft autonome Nederlandse wetgeving – geldt dus op korte termijn een nieuwe meldplicht voor (i) bepaalde incidenten en (ii) bepaalde aanbieders. Het gaat om een ‘inbreuk op de veiligheid of een verlies van integriteit van zijn informatiesysteem waardoor de beschikbaarheid of betrouwbaarheid van een product of dienst in belangrijke mate wordt of kan worden onderbroken’ (artikel 6 lid 1 Wgmc). En degene die moet melden is de vitale aanbieder: ‘aanbieder van een product of dienst waarvan de beschikbaarheid en betrouwbaarheid van vitaal belang zijn voor de Nederlandse samenleving’ (artikel 1 Wgmc). Het wachten is hier mede op een Algemene Maatregel van Bestuur.

Als meest bekende digitale meldplicht geldt die van de huidige Wet bescherming persoonsgegevens (artikel 34a Wbp) en de toekomstige plicht op grond van de Algemene Verordening Gegevensbescherming (artikelen 34-35 AVG), die de Wbp per 25 mei 2018 vervangt. De brede meldplicht voor datalekken dus. Beide voorschriften hebben betrekking op een inbreuk op de beveiliging van persoonsgegevens.

Maar wat vervolgens niet iedereen zich beseft, is dat het daarnaast om tenminste tien digitale meldplichten op grond van andere wet- en regelgeving gaat. Bovendien kan er tevens een meldplicht uit onrechtmatige daad en/of contract ontstaan. De juridische criteria wie wat wanneer aan wie moet melden, verschillen telkens. Toch zijn het allemaal expliciete of impliciete, dwingendrechtelijke regels voor het melden (en soms ook documenteren) van een digitaal incident. Een en ander behoort geconsolideerd in het meldplichtbeleid van iedere organisatie te worden opgenomen.

Mr. V.A. de Pous is sinds 1983 strategisch-juridisch adviseur voor digitale technologie, gegevensverwerking en de informatiemaatschappij (www.newsware.nl).

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.