Legal Look: Victor de Pous over stemmingmakerij wettelijke meldplicht

  1. 15 dec 2016
  2. 0 reacties

Victor de Pous

Goed nieuws. Sociaal mediagigant Facebook - met 1,63 miljard gebruikers - gaat meer doen om te voorkomen dat nepnieuws zich via het platform verspreidt. Enerzijds krijgen gebruikers meer hulpmiddelen om onjuiste informatie te melden, terwijl het bedrijf zelf de detectiesystemen verbetert. Dat hebben we te danken aan de verkiezingen. President elect Trump zou van nepnieuws hebben geprofiteerd, nu kennelijk veel Amerikanen de sociaal media-website als belangrijkste en zelfs enige nieuwsbron lezen.

De nieuwe aanpak mist zijn doel wanneer het om een onzorgvuldige informatievoorziening van een krant gaat; ook in Nederland. ‘Niet melden van cybercrime is vaak verstandiger', kopte het FD onlangs en verwoordde de mening van een advocaat, ex-officier van justitie. De discussie dateert goed beschouwd uit de jaren zestig en zeventig van de vorige eeuw toen de eerste zaken van computermisbruik aan het licht kwamen. Omdat vriend en vijand er destijds van uitging dat deze incidenten, zoals vermogensdelict of sabotage, doorgaans niet tot aangifte leidden wegens angst voor reputatieschade, werd de omvang van computercriminaliteit steevast vergeleken met het topje van een ijsberg. Dark numbers. Die situatie is vandaag onveranderd, maar de schaal nam wel exponentieel toe. Digitale criminaliteit in de gekoppelde wereld is letterlijk aan de orde van de seconde.

Wie zijn cliënt adviseert geen digitale criminaliteit te melden, heeft deze vrijheid. Op zich is dat geen gammel advies. Het Nederlandse recht kent immers geen algemeen voorschrift om cybercrime - aan wie dan ook - te melden. Bovendien geldt het uitgangspunt dat bedrijven en hun topmanagers risico’s mogen nemen (maar openbaar bestuurder en ambtenaar nadrukkelijk niet). De discussie moeten we echter zuiver voeren. Er bestaat echter wel een inmiddels breed digitaal meldplichtspectrum, dat telkens uitbreidt. Deze juridische lappendeken brengt een veel groter - geconsolideerd - risico voor iedere digitale organisatie met zich mee dan het gedoe omtrent de nieuwe Wet meldplicht datalekken.

Nog een punt van onderscheid, waar het FD aan voorbijgaat. Een wettelijke meldplicht voor een digitaal incident, inclusief persoonsgegevenslek, kan te maken hebben met criminaliteit. Dat hoeft echter nadrukkelijk niet het geval te zijn. USB-sticks worden verloren, een officier van justitie zet een PC bij het oud vuil, er gaat iets mis met een software patch, een ambtenaar stuurt persoonsgegevens naar een verkeerd adres, en wat dies meer zij. Vaak ontbreekt opzet en is er geen sprake van cybercrime.

De advocaat ter zake hoort van de overheid dat het instrument meldplicht (in relatie tot het lekken van persoonsgegevens) slechts uit oogpunt van algemeen belang zou zijn gekozen. Dat is opvallend. Bij de meeste meldplichten gaat het primair om het beperken van schade en vervolgens om het stimuleren van vertrouwen in een bepaalde sector of, breder, de samenleving. Voor de Wet meldplicht datalekken is dat niet anders. Daar komt nog bij dat ook het algemeen belang een zaak van gewicht is. De informatiesamenleving heeft juist dringend behoefte aan meer vertrouwen.

Ondertussen roerde VNO-NCW zich in het debat. Een bedrijf moet zich houden aan wettelijke voorschriften, dus ook aan de Wet meldplicht datalekken. Klare taal. Maak dan topprioriteit van het aanpakken van cybercrime. Daarvoor is, gelet op de staat van de informatiemaatschappij, veel te zeggen. Toch missen ook de verzamelde werkgevers een centraal punt. ‘Maar kijk je vanuit bedrijfsoogpunt naar meldingen en vraag je je af what’s in it for me?, dan kan ik melden: bijzonder weinig’, aldus een medewerker. Politie en justitie zijn niet op de digitale opsporing berekend, weet VNO-NCW. Vervolgens doemen hier dezelfde publicitaire zorgen op, als bij de corporate slachtoffers van de eerste generatie computercriminelen 50 jaar geleden. Wat als een melding uitlekt? De wetgeving omtrent - het lekken van - persoonsgegevens draait uiteindelijk om de betrokkene (u en ik), wiens persoonsgegevens door een ander worden verwerkt. Het individu staat dus centraal en niet de organisatie die verwerkt.