Bedrijfsinformatiebeleid dringend gewenst

Victor de Pous

Een jaar na het intreden van de inmiddels beruchte wet Meldplicht Datalekken zegt 41% van de organisaties in Nederland geen (tijdige) melding te maken van dataverlies. De belangrijkste gronden om niet te melden zijn (i) onduidelijkheid over de impact van het datalek, (ii) reputatieschade en (iii) het voorkomen van verder misbruik. Daarnaast speelt bij 10% van de ondervraagden (iv) angst voor disciplinaire maatregelen mee, waardoor medewerkers datalekken ook intern onder de pet houden. Tegelijkertijd heeft meer dan de helft van het bedrijfsleven en overheden in 2016 te maken gehad met één of meer lekken van ‘gevoelige informatie’, aldus de belangrijkste uitkomsten van een onderzoek naar de meldplicht datalekken in de praktijk, door Pb7 Research onder 310 Nederlandse organisaties, in opdracht van de Russische informatiebeschermer Kaspersky Lab uitgevoerd.

De onderzoekers rekenen ook het verzuimpercentage door. Men komt uit op 24.000 medeplichtige datalekken in 2016. Of dat er nu veel of weinig zijn; in ieder geval staat het aantal in schril contrast met de 5.500 meldingen die de toezichthouder in dezelfde periode heeft ontvangen. Nog een opmerkelijk punt uit de studie. Als één van de gronden om niet te melden, wijst het onderzoek op ‘voorkomen van verder misbruik’. Dat bevreemdt omdat ook de meldplicht datalekken van 1 januari 2016 - naast allerlei andere wettelijke meldplichten, die kennelijk vaak in de vergetelheid zijn geraakt omdat niemand hieraan denkt - mede in het leven is geroepen om de (gevolg)schade te beperken; in het bijzonder zodat betrokkenen (u en ik) wiens gegevens zijn gelekt, zelf maatregelen kunnen nemen om verdere schade te beperken. Neem het voorbeeld van een Internet Service Provider. Wanneer hij kond doet dat accounts zijn gehackt, kunnen betrokkenen bijvoorbeeld hun wachtwoord wijzigen, hun account beëindigen of andere schadebeperkende maatregelen nemen. Dat werkt.

Het blijft merkwaardig, zelfs hoogst merkwaardig, dat verantwoordelijken - degenen die persoonsgegevens verwerken: vrijwel iedere onderneming en overheidsorganisatie - de ratio van het privacyrecht niet snappen. Niet de verantwoordelijke, maar de betrokkene staat in dit rechtsdomein centraal.

Een andere casus, die onze neus op de bittere noodzaak van bedrijfsinformatiebeleid drukt. De Autoriteit Consument & Markt (ACM) legde energieleverancier Oxxio een boete op van zegge en schrijve een miljoen euro voor de onjuiste registratie van klantgegevens in contract-eindegegevensregister; ook wel CER genoemd. Hierin houden alle energieleveranciers die leveren aan consumenten (business-to-consumer markt) per aansluiting bij wanneer het contract afloopt. De betrouwbaarheid van data in dit register is essentieel voor een goede werking van de energiemarkt.

De registratie betreft namelijk de eerlijke mededinging. Als de gegevens niet kloppen worden consumenten verkeerd ingelicht over hun keuzemogelijkheden en kunnen leveranciers niet eerlijk met elkaar concurreren. Oxxio had bij contracten voor onbepaalde tijd ten onrechte een einddatum laten registreren. Hierdoor leek het bij het raadplegen van het register dat de klant een contract voor bepaalde tijd had, waardoor de consument moest wachten met overstappen dan wel een vergoeding moest betalen.

De bestuurlijke boete onderstreept dus het belang van het zorgvuldig omgaan met bedrijfsinformatie: alle soorten gegevens, geen uitgezonderd. Dat vraagt beleid, controle en handhaving per organisatie. Vandaag staan met betrekking tot klantgegevens (persoonsgegevens) vooral de beschermingsaspecten in het voetlicht - datalekken - terwijl andere aspecten niet of nauwelijks aan de orde komen in de bestuurskamer. De oorzaak van de fout bij Oxxio lag kennelijk bij een migratieproject. Dat doet nadrukkelijk niets af aan de ernst van de overtreding. Toezichthouder ACM is daar duidelijk over. Die classificeert deze overtreding als ernstig, omdat (i) andere energieleveranciers als consumenten erop moeten kunnen vertrouwen dat het register juist, volledig en bijgewerkt is. Bovendien heeft Oxxio de fout (ii) niet met de vereiste spoed opgelost. Opnieuw geleerde lessen voor de bestuurskamer. Pak de datazaken toch eens professioneel aan.

Mr. V.A. de Pous is sinds 1983 strategisch-juridisch adviseur voor digitale technologie, gegevensverwerking en de informatiemaatschappij (www.newsware.nl).