Wetgeving, wetgeving en nog eens wetgeving

Victor de Pous

Gedurende de laatste 25 jaar kwam een breed wetgevingsoffensief voor digitale techniek, gegevensverwerking en de informatiemaatschappij op gang, waarvan omvang en intensiteit nu toenemen. Deze huidige periode getuigt namelijk eens te meer van een brede, niet-aflatende stroom digitale wet- en regelgeving. Vanuit de Europese Unie en door Nederland als autonome wetgever. Hieruit blijkt eens te meer dat de tijd van juridische Spielerei in de informatiemaatschappij definitief achter ons ligt. Velen krijgen met (grote) delen van dit omvangrijke legislatieve raamwerk te maken. Voor openbaar bestuurder en ondernemer zijn deze spelregels echter van strategisch belang geworden; ongeacht de staat van digitale transitie waarin de organisatie zich bevindt, én ongeacht de sector. We benoemen een aantal wetgevingstrends in het cruciale domein privacy en digitale veiligheid.

Laten we bij de basis beginnen. Gebaseerd op een stevig verankerd mensenrecht wordt het net rond de bescherming van de persoonlijke levenssfeer aangetrokken. Daardoor versterkt de rechtspositie van de burger. Vice versa zien bedrijf en overheidsorganisatie op grond van de Wet meldplicht datalekken (opgenomen in de Wet bescherming persoonsgegevens), de aankomende Algemene Verordening Gegevensbescherming en de aankomende e-Privacy verordening (‘de Europese Telecomwet’) zich geconfronteerd met nieuwe juridische verplichtingen.

Om het algemene probleem van een gebrek aan vertrouwelijkheid van gegevensverwerking het hoofd te bieden, kent het recht uiteenlopende netwerk- en informatiebeveiligingswetgeving. Deze categorie regelgeving schrijft onder andere passende technische en organisatorische maatregelen voor om gegevens te beschermen tegen verlies of tegen enige vorm van onrechtmatige verwerking.

Daarnaast gaat het om de opkomst en uitbreiding van wettelijke meldplichten bij incidenten in relatie tot digitale techniek en dataverwerking, waaronder het lekken van persoonsgegevens, een veiligheidsinbreuk of verlies van integriteit.

Verder noteren wij de uitbreiding van de juridische bevoegdheden van toezichthouders, waaronder Autoriteit Persoonsgegevens en Autoriteit Consument en Markt, inclusief een forse verhoging van sancties bij overtreding van onder andere wettelijke beveiligingsvoorschriften en meldplichten.

In het strafrechtdomein gaat het om hogere straffen voor cybercriminaliteit (Wet voor de implementatie van een Europese richtlijn over aanvallen op informatiesystemen) en de verbreding en versterking van de juridische bevoegdheden van het opsporingsapparaat, inclusief inlichtingen- en veiligheidsdiensten. Op 20 december 2016 heeft de Tweede Kamer het wetsontwerp bestrijding cybercrime (Computercriminaliteit III) aangenomen, terwijl de regering het voorstel van wet inzake wijziging Wet op de inlichtingen- en veiligheidsdiensten op 28 oktober 2016 bij de Tweede Kamer indiende. Op 14 februari 2017 nam de Tweede Kamer dit voorstel aan. Daardoor wordt ongerichte, digitale massasurveillance voor het eerst in Nederland mogelijk, tenzij de Senaat andersluidend besluit. Onze oosterburen de modus operandi Sleppnetzfahndung. Daarmee keert de overheid een fundamentaal strafrechtbeginsel om. Geen enkele burger is immers ‘zo maar’ een verdachte. Daarvoor is tot nu toe een gerede grond nodig. Een reële verdenking. Dat verandert dus. Enerzijds biedt de wetgever de burger meer privacyrechten, anderzijds wordt dit grondrecht uit veiligheidsoverwegingen juist weer beperkt.

Nog een trend. Een gevolg van al het wetgevingsgeweld - en onder druk van de boetedreiging bij niet-naleving - is dat organisaties zich met verve op regulatory compliance richten. Daarbij lijken ze de ratio van het rechtskader te passeren. Dat behoort niet zo te zijn. Niet alleen is bijvoorbeeld het recht op privacy een grondrecht, waarin dus de belangen van het individu het uitgangspunt vormen (en niet die van de organisatie die persoonsgegevens verwerken). Ook vormen de wettelijke voorschriften voor netwerk- en informatiebescherming een belangrijk onderdeel van maatschappelijk verantwoord handelen, onafhankelijk van het privacyrecht.

Tenslotte loopt een organisatie door een (te) sterke focus op regulatory compliance het risico dat contractual compliance - het voldoen aan overeenkomst en beleid - in de vergetelheid raakt. Denk aan licenties voor computerprogramma’s, afspraken met ketenpartners, of interne regels voor de bescherming van technische en commerciële knowhow. Val niet in deze kuil.

Mr. V.A. de Pous is sinds 1983 strategisch-juridisch adviseur voor digitale technologie, gegevensverwerking en de informatiemaatschappij (www.newsware.nl).