gebruik persoonsgegevens · heid bij de Meldplicht Datalekken. Ik wilde een onderwerp schrijven...

29-01-2016 Cyber security-wetgeving verdeelt Europa

26-01-2016 Persoonsgegevens over uitkeringen en boetes onvoldoende beveiligd bij drie gemeenten

09-02-2016 Gegevens FBI –medewerker op straat

19-02-2016 Kritiek veilig gebruik persoonsgegevens

Naam: Iris Zeijlemaker – In ´t Veld Mentor: Marnix van Rij, CDA Eerste Kamerlid CDA Talent Academie 2015-2016

Ketenverantwoordelijkheid bij Meldplicht Datalekken

De positionering van het CDA gedachtegoed; van lokaal naar internationaal en terug


Iris Zeijlemaker – in ’t Veld 2 CDA Talent Academie 2015 - 2016

Voorwoord

Eind november 2015 heb ik besloten dat ik mijn paper ging schrijven over ‘Ketenverantwoordelijk-heid bij de Meldplicht Datalekken’. Ik wilde een onderwerp schrijven over een ‘niet-zorg’ onderwerp, maar wat toch de ‘zorg’ raakte. Het onderwerp van mijn paper is een technisch onderwerp. Maar het is ook een onderwerp waar wij, als CDA, ons zeer bewust van moeten zijn. Datalekken en cybercrime zullen steeds meer onze samenleving gaan vormen, zowel in de profit als non-profit sectoren. In januari 2016 heb ik de heer Marnix van Rij benaderd met de vraag of hij mij tijdens het schrijven van mijn paper wilde begeleiden. De heer van Rij heeft als Eerste Kamerlid onder andere cybercrime in zijn portefeuille. Hij was meteen enthousiast en gedurende het traject bleef hij enthousiast. Dit was voor mij heel waardevol en motiverend. Ik wil hem daarvoor hartelijk bedanken. Over dit onderwerp wist ik vooraf niets anders dan dat wat er in de media stond. Het schrijven van deze paper is voor mij een leerzaam en leuk traject geweest. Ik vond het belangrijk om met diverse mensen met verschillende achtergronden over dit onderwerp te praten. Zij hebben mij een goed beeld gegeven over dit onderwerp. De openheid en het enthousiasme, die ik tijdens de interviews ontving van de geïnterviewden, werkten aanstekelijk bij mij. Ik wil allen hiervoor hartelijk bedanken. Leerzaam waren ook de ‘white-boards’ die volgeschreven werden om uitleg te geven over hoe de informatietechnologie werkt en waar problemen ontstaan. Maar ook de gesprekken over de frustra-ties en het onbegrip tussen het ‘bedrijfsleven en de wetenschap versus politiek,’ waren voor mij leer-zaam. Evenzo die tussen ‘de lokale, landelijke en Europese politiek’.

De gesprekken hebben mij doen beseffen, hoe belangrijk het is om als politiek samen te werken met het bedrijfsleven en de wetenschap. Er ligt hierin een gezamenlijk belang, namelijk de bescherming van privacy van burgers en de veiligheid van Nederland. Iedere partij bekijkt het vanuit haar eigen achtergrond en is daarin deskundig. Door deze achtergronden samen te voegen, staan we sterker, maar dan zullen we ook over onze eigen schaduwen heen moeten stappen. Het is goed om ons te realiseren, dat de ICT steeds meer onze toekomst gaat bepalen. Naar aanlei-ding van deze paper zijn er reeds op landelijk en lokaal niveau door het CDA acties ondernomen. In bijlage 3 en 4 zijn de acties terug te vinden.

Het is van belang om als CDA goed op de hoogte te zijn van de problemen in de ICT. Ook is het van belang om ons netwerk inzake de ICT te versterken. Goede afstemming met ervaringsdeskundigen in het bedrijfsleven en in de wetenschap zullen ervoor zorgen dat wij als CDA ‘goede vragen kunnen stellen en adviezen kunnen geven’, maar ook haalbare standpunten kunnen bepalen over dit onder-werp. Het CDA zal de samenleving dan ter zake kundig kunnen vertegenwoordigen in de politieke arena. Hopelijk draagt mijn paper van 2.999 woorden hieraan bij. Samen staan we sterker!



Inhoudsopgave Voorwoord .............................................................................................................................................. 2

Inhoudsopgave ........................................................................................................................................ 3

Hoofdstuk 1: Inleiding ............................................................................................................................. 4

1.1 Aanleiding ...................................................................................................................................... 4

1.2 Onderwerp .................................................................................................................................... 4

1.3 Traject ............................................................................................................................................ 4

Hoofdstuk 2: Theorie ............................................................................................................................... 5

2.1 Informatie en Communicatie Technologie ................................................................................... 5

2.2 Soorten gegevens inbraken en gevolgen ...................................................................................... 5

2.3 Meldplicht datalekken ................................................................................................................... 5

2.4 Informatiesamenleving ................................................................................................................. 6

2.5 Apparatuur, beheer en bewaking ................................................................................................. 6

Hoofdstuk 3: Veldonderzoek ................................................................................................................... 7

3.1 Schematische uitwerking van de keten rondom Meldplicht Datalekken ..................................... 7

3.2 Belangrijkste verschillen en overeenkomsten uit de interviews ................................................... 8

3.2.1 Wetenschap & bedrijfsleven versus de politiek ..................................................................... 8

3.2.2 Overeenkomsten .................................................................................................................... 8

3.2.3 Onderlinge verschillen ............................................................................................................ 8

3.3 Casus: positie van gemeente als dataverwerker ........................................................................... 8

Hoofdstuk 4: Analyse en CDA principes en kernwaarden ..................................................................... 10

4.1 CDA principes: subsidiariteit en soevereiniteit in eigen kring ..................................................... 10

4.2 CDA kernwaarden ........................................................................................................................ 10

4.2.1 Solidariteit ............................................................................................................................ 11

4.2.2 Publieke gerechtigheid ......................................................................................................... 11

4.2.3 Rentmeesterschap ................................................................................................................ 10

4.2.4 Gespreide verantwoordelijkheid .......................................................................................... 11

Hoofdstuk 5: Conclusie en aanbevelingen ............................................................................................ 12

5.1 Conclusie ..................................................................................................................................... 12

5.2 Aanbeveling ................................................................................................................................. 12

Literatuurlijst ......................................................................................................................................... 13

Bijlage 1: Geïnterviewde Personen en Vragenlijst ................................................................................ 14

Bijlage 2: Samenvatting van de antwoorden ........................................................................................ 15

Bijlage 3: Gestarte actie landelijk .......................................................................................................... 18

Bijlage 4: Gestarte actie lokaal .............................................................................................................. 19



Hoofdstuk 1: Inleiding

1.1 Aanleiding

Eind 2015 werd aangegeven dat de gemeente Alkmaar een eigen geautomatiseerd systeem gaat

ontwikkelen. Op dit systeem gaan zorgaanbieders en gemeenten inloggen om hun datagegevens te

verwerken. Hierdoor kunnen indicatiestellingen, declaraties, gegevenswijzigingen en verantwoording

effectiever en efficiënter plaatsvinden. Dit wekte mijn interesse, omdat de media vaker berichtten

over datalekken bij zorgorganisaties. Toen op 1 januari 2016 de Meldplicht Datalekken in Nederland

in werking ging, vond ik het onderwerp voor mijn paper.

1.2 Onderwerp

De paper gaat over de ‘ketenverantwoordelijkheid bij datalekken’. Bij de start van deze paper was

mijn kennis over dit onderwerp beperkt. Het viel mij op dat ook binnen mijn netwerk de meeste

mensen onbekend waren met de Meldplicht Datalekken.

De Meldplicht Datalekken houdt in, dat organisaties (zowel bedrijven als overheden) direct een mel-

ding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. Soms

moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens

zijn gelekt). (bron: www.autoriteitpersoonsgegevens.nl). Bij het overtreden van de Meldplicht Data-

lekken kan de Autoriteit Persoonsgegevens, de toezichthouder, een bestuurlijke boete opleggen van

maximaal 820.000 euro.

Om dit onderwerp beter te begrijpen is het goed om te weten welke partijen betrokken zijn bij de

Meldplicht Datalekken, of er sprake is van onderlinge samenwerking en/of er een vorm van gesprei-

de verantwoordelijkheid is binnen deze keten. Dit vanwege mijn nieuwsgierigheid, maar ook als be-

zorgde volksvertegenwoordiger van de gemeente Alkmaar.

1.3 Traject

Deze paper heb ik met veel plezier geschreven. Voor deze paper heb ik diverse onderzoeken gelezen,

een seminar bezocht en negen mensen geïnterviewd. De geïnterviewden komen uit de wetenschap,

de politiek en het bedrijfsleven. Zij zijn werkzaam op internationaal, nationaal of regionaal niveau. Zij

hebben allen hetzelfde interview gekregen en niet iedereen was een CDA’er. Dit leidde tot interes-

sante uitkomsten.

http://www.autoriteitpersoonsgegevens.nl/



Hoofdstuk 2: Theorie

2.1 Informatie en Communicatie Technologie De Nederlandse samenleving is steeds verder aan het automatiseren en digitaliseren. Dit gebeurt op verschillende niveaus in de samenleving, van de ‘slimme thermostaat in huis tot aan de beveiliging van ons land’. Veel mensen delen hun persoonlijke activiteiten op diverse sociale media met beken-den en onbekenden. Deze vormen van Informatie en Communicatie Technologie, ICT, krijgen een grotere rol in onze samenleving. Er zijn weinig grenzen en de informatie is overal en altijd beschik-baar. Onze samenleving wordt ook wel een ‘informatiesamenleving’ genoemd. Dit gebeurt niet al-leen in Nederland maar wereldwijd.

2.2 Soorten gegevens, inbraken en gevolgen Er zijn twee soorten gegevens, de persoonsgegevens, die verwijzen naar een natuurlijk persoon, en overige gegevens. Diverse (inter-) nationale wetgevingen geven aan op welke wijze met deze gege-vens mag worden omgegaan en hoe gehandeld moet worden op het moment dat een onbevoegde toegang krijgt tot deze gegevens. Bij datalekken kunnen onbevoegde toegang krijgen tot digitale gegevens. Een datalek kan ontstaan door:

verwijtbaar/nalatig handelen van degene die toegang heeft tot de digitale gegevens. Denk hierbij aan het kwijtraken van een USB-stick of onzorgvuldig omgaan met wachtwoorden of een verkeerd persoon mailen.

digitale inbraken, hacken, op het systeem van de dataverwerker. Dit kan op afstand plaats-vinden, de hacker verschaft zichzelf op digitale wijze toegang tot het systeem van de data-verwerker.

combinatie van bovenstaande, al dan niet met (on)vrijwillige medewerking van de dataver-werker.

Inbraken kunnen gedaan worden door een individu, een organisatie en een land, al dan niet in op-dracht. Het doel van hacken is vaak om digitale processen te verstoren en/of schade toe te brengen maar ook om digitale gegevens te stelen, te wijzigen of te vernietigen. Daarnaast kan het een soort ‘challenge’ zijn, de hacker laat zien wat hij kan. Bij een succesvolle inbraak kunnen digitale gegevens in handen komen van onbevoegden die kwaad-willend zijn. De gevolgschade kan de samenleving op verschillende niveaus raken, zowel op individu-eel niveau, organisatie/branche niveau als op landsniveau. Nederland kent twaalf vitale sectoren en als daar een datalek plaatsvindt, kan de veiligheid van Nederland in gevaar komen. De wetenschap heeft al veel onderzoek verricht naar de gevolgen van cybercriminaliteit. Naast het ontstaan van onveilige situaties, hoge maatschappelijke kosten, zoals gederfde inkomsten en repara-tiekosten, kan ook het vertrouwen van de consumenten in de digitale samenleving geschaad worden. (zie Anderson 2012).

2.3 Meldplicht Datalekken Nederland kent diverse meldplichten met meerdere toezichthouders. Deze toezichthouders kijken naar het soort datalek. Verder beoordelen zij of het gaat om een datalek bij persoonsgegevens of dat de veiligheid van Nederland in het geding is. Op 1 januari 2016 is in Nederland de Meldplicht Data-lekken in werking getreden met als toezichthouder de Autoriteit Persoonsgegevens.

Tijdens het schrijven van mijn paper is op 14 april 2016 de General Data Protection Regulation (GDPR) aangenomen, waaronder ook de Meldplicht Datalekken valt. Deze Europese verordening bevat ingrijpende wijzigingen op de databescherming en de vrije beweging van persoonsgegevens. Het doel is een geharmoniseerde Europese wetgeving rondom persoonsgegevens en het beschermen van data. In 2018 moeten alle profit en non-profitorganisaties binnen de Europese Unie aan deze



verordening voldoen, anders zullen zij beboet worden.

2.4 Informatiesamenleving Meestal voorzien multinationals de wereld van digitale diensten en producten. Met een paar klikken op de muisknop kan men efficiënt en effectief werken en communiceren. Hoe deze techniek precies werkt, is voor velen onduidelijk. Een kritische grondhouding van een consument of dataverwerker lijkt hierbij vaak niet aanwezig. Het lijkt erop alsof zij blindelings deze digitale techniek accepteren. Mogelijk dat vertrouwen in onze in-formatiesamenleving hierin een rol speelt. Anderson (2012) en het CDV (herfst 2014) spreken over dit vertrouwen. In het CDV staat: ‘vertrouwen is het op een positieve manier aanvaarden van de aanwezige onzekerheid’. De ondoorzichtige technieken achter de geautomatiseerde systemen geven een informatieachterstand bij veel consumenten en dataverwerkers. Toch vertrouwen zij erop dat er zorgvuldig met hun digitale gegevens wordt omgegaan en dat er geen misbruik plaatsvindt. Deze informatieachterstand zorgt voor een machtsongelijkheid en dat doet geen goed aan de auto-nomie van de consumenten of dataverwerkers. Machtsongelijkheid kan leiden tot machtsmisbruik en wanneer dat plaatsvindt, kan het vertrouwen in de informatiesamenleving schade ondervinden. Het blindelings accepteren kan ook te maken hebben met onbekendheid met de mogelijkheden van misbruik maar ook onverschilligheid. Het idee dat het niet uitmaakt of er misbruik plaatsvindt, omdat het risico op persoonlijke schade gevoelsmatig klein is. Het gevoel van: ‘bij mij valt toch niets waar-devols te halen’. Het kan ook komen door een gevoel van machteloosheid. Het idee dat er geen andere oplossing mo-gelijk is dan het accepteren, omdat een individueel persoon of organisatie het verschil niet kan uit-maken. Men voelt zich overgeleverd aan de krachten en machten van de grotere spelers, waarbij sprake is van een onevenwichtige afhankelijkheidsrelatie. Een andere kant is er ook. Consumenten of dataverwerkers met verstand van ICT worden vaak ge-hinderd bij het uitoefenen van hun kritische grondhouding door afgesloten contracten. Deze verbie-den dit. De wet op ‘Bescherming van Intellectueel Eigendom’ ondersteunt deze contracten. Daarnaast zullen datalekken ook altijd bestaan. Het is belangrijk om de risico’s ervan beheersbaar en aanvaardbaar te houden.

2.5 Apparatuur, beheer en bewaking Om risico’s van datalekken beheersbaar en aanvaardbaar te houden, als dataverwerker, zijn goede apparatuur en softwarepakketten belangrijk. Maar ook het hebben van mensen met goede kennis van de ICT, die regelmatig bijgeschoold worden op het gebied van ICT. Verder is een goed beheer en bewaking van de digitale gegevens nodig. Beheer zorgt ervoor dat geautomatiseerde systemen altijd met elkaar kunnen communiceren, de vragen van medewerkers worden opgelost, updates worden uitgevoerd en potentiele risico’s worden geanalyseerd. Bewaking zorgt ervoor dat risico’s worden verholpen en daadwerkelijke datalekken worden gedicht. Cloud-providers doen dit ook. Echter, Nederland kent maar één Cloud-provider die onder Nederland-se wetgeving valt. De andere Cloud-providers zijn niet-Nederlandse bedrijven die onder andere wet-geving vallen.



Hoofdstuk 3: Veldonderzoek 3.1 Schematische uitwerking van de keten rondom de Meldplicht Datalekken De keten rondom de Meldplicht Datalekken bestaat grofweg uit (inter-) nationale overheid, diverse data-eigenaren, diverse klant / consumenten met toezichthouders. Een belangrijke speler op dit veld is ook de softwareleverancier. Hieronder is de keten schematisch weergegeven. MODEL:

Alle geïnterviewden hebben dit model en dezelfde vragen voorgelegd gekregen. De wet spreekt over dataverwerkers in plaats van data-eigenaar, dit werd bij de afronding van mijn paper bekend. Van-daar dat er soms nog data-eigenaar staat. Een samenvatting van de diverse antwoorden en inzichten zijn in de bijlage 2 terug te vinden.

Wetgever Toezichthouder

Softwareleverancier

Data-eigenaar

Consument / Klant

Meldingsplicht /

€ 800 K bij data-inbreuk

Controle ?

Autoriteit per-

soonsgegevens Wetgeving

Internationaal ?

Nationaal ?

MARKT

OVERHEID

MVO ?

Morele code ?

Figuur 1. Model uitwerking keten Meldplicht Datalekken



3.2 Belangrijkste verschillen en overeenkomsten uit de interviews 3.2.1 Wetenschap & Bedrijfsleven versus politiek Uit de interviews kwam naar voren dat de wetenschap en het bedrijfsleven lijnrecht tegenover de dagelijkse politiek staan in hun zienswijze over ketenverantwoordelijkheid bij het beschermen van datagegevens, het oplossen van datalekken en de rol van de toezichthouder hierin. De wetenschap en het bedrijfsleven vinden het beschermen van datagegevens en het oplossen van de datalekken geen ketenverantwoordelijkheid, maar de verantwoordelijkheid van de dataverwer-ker. Dit vond overigens ook de CDA’er die betrokken is geweest bij het opstellen van de wet. Zij zien graag dat de toezichthouder beter toegerust wordt en dat de toezichthouder harder gaat optreden. De politiek ziet dit anders, zij vindt het wel een ketenverantwoordelijkheid en zij vindt dat de toe-zichthouder mild en proportioneel moet straffen. Verder vinden de wetenschap en het bedrijfsleven dat ketenverantwoordelijkheid bij een datalek praktisch niet uitvoerbaar is. Redenen hiervoor zijn: outsourcing, onderaannemerschap, diversiteit aan softwareapplicaties en softwareleveranciers. Maar ook (inter-)nationale wetgevingen en culture-le verschillen.

3.2.2 Overeenkomsten De wetenschap, het bedrijfsleven en de politiek zijn het grotendeels eens over de afwezigheid mo-menteel van ketenverantwoordelijkheid bij de bescherming van de datagegevens en de wijze waarop ketenverantwoordelijkheid het beste gestimuleerd kan worden. Volgens hen moet dit vanuit de markt / bedrijfsleven zelf komen door onderlinge afspraken. Zij vinden het belangrijk dat de wetge-ver op de achtergrond aanwezig blijft als een soort achterwacht, die optreedt als de markt of het bedrijfsleven faalt. Alle geïnterviewden geven aan, dat het niet mogelijk is om datalekken tegen te gaan. Datalekken zullen altijd bestaan. Daarnaast werd ook de eigen verantwoordelijkheid van de verschillende ketens benoemd. Zij moeten ook alert blijven op cybercriminaliteit op het moment dat om hun gegevens wordt gevraagd.

3.2.3 Onderlinge verschillen De meningen verschillen over de concrete stappen voor de oplossingsrichting om ketenverantwoor-delijkheid te bevorderen. Ideeën die opkwamen waren:

aanstellen van een onafhankelijke groep, die de verschillen tussen de softwarepakketten zichtbaar maakt, waardoor dataverwerkers inzichtelijk hebben wat ze kiezen;

gemeenten niet als dataverwerker zien, maar als afhankelijke consument;

ongeldig verklaren van contracten onder Nederlandse wet, wanneer de dataverwerker het softwarepakket niet mag onderzoeken op zwakheden;

creëren van een goed back-up systeem, zodat de dataverwerker minder afhankelijk wordt;

verantwoordelijkheid binnen de keten mee transporteren, soort workflow;

stoppen met deze wet, het verstoort het proces van sharing tussen bedrijven;

duidelijk maken waarom deze wet er is.

3.3 Casus: positie van gemeente als dataverwerker

De afgelopen jaren is er veel veranderd voor gemeenten. Zij hebben meer taken gekregen, die ge-paard zijn gegaan met forse bezuinigingen. Ook de digitalisering vergt aanpassingen van de gemeen-ten. Hierdoor vonden reorganisaties plaats met veel personele wisselingen, waardoor ambtenaren vaak weinig overzicht meer hebben. Mede door de decentralisaties zijn gemeenten regionaal gaan samenwerken en sommigen zijn gefuseerd. Diverse elektronische systemen zijn daarbij in elkaar ge-



schoven. Deze e-systemen communiceren slecht met elkaar, waardoor problemen ontstaan en de kans op datalekken toeneemt. Gemeenten verwerken al langer burgergegevens, maar door de decentralisaties komen er meer ge-gevens bij. De krimpende budgetten zorgen vaak voor het uitstellen van investeringen. Ook op ICT-gebied gebeurt dit, waardoor de kans op datalekken toeneemt. Gemeenteambtenaren werken vaak op verouderde apparatuur met verouderde software. Een gemeente die wel geïnvesteerd heeft in nieuwe apparatuur en software ondervindt problemen door de samenwerking met een gemeente die nog geen ICT-investeringen heeft gedaan. Binnen de gemeenten is vaak onvoldoende kennis aanwezig over de diverse mogelijkheden op de ICT-markt. Goed geschoolde ICT-ers zijn duur en deze ambtenaren zijn schaars. Het beheer en de bewaking van de digitale gegevens wordt door gemeenten zelf gedaan of uitbesteed. Gemeenten kampen veelal met tijd-, personeel-, kennis- en / of geldgebrek. Het is voor gemeenten bijna niet mogelijk om over voldoende kennis en middelen te beschikken om de bescherming van persoonsgegevens en overige gegevens goed uit te voeren. Een datalek kan makkelijk ontstaan door een fysieke fout van de mogelijk onwetende ambtenaren, zoals Vereniging van Nederlandse Ge-meenten recentelijk berichtte, of door digitale inbraken door hackers. Cyber-criminaliteit ligt op de loer.



Hoofdstuk 4: Analyse en CDA principes en kernwaarden

4.1 CDA principes: subsidiariteit en soevereiniteit in eigen kring ICT-bedrijven zijn vaak multinationals. Gemeenten zijn te klein om een serieuze gesprekspartner te zijn voor internationale softwareleveranciers. De Vereniging van Nederlandse Gemeenten is hiervoor ook te klein, omdat de internationale marktspelers de landsgrenzen en vaak het continent Europa overstijgen. Dit rechtvaardigt het subsidiariteitsprincipe en ook dat het Europees Parlement dit op-pakt.

4.2 CDA kernwaarden

4.2.1 Solidariteit De informatiesamenleving leunt op vertrouwen. Het consumentenvertrouwen in deze samenleving is essentieel voor het voortbestaan van de wijze waarop erin geleefd wordt. Dit rechtvaardigt het soli-dair zijn met de consument, zodat zijn vertrouwen niet geschaad wordt. Een kritische grondhouding van de consument over zijn eigen handelen, mag zeker verwacht wor-den. Echter een consument moet erop kunnen vertrouwen dat zijn digitale gegevens bij een data-verwerker veilig zijn. Dit geldt ook voor een burger die zijn persoonsgegevens afgeeft aan een over-heidsinstelling. De dataverwerkers zijn te allen tijde verantwoordelijk voor het goed verwerken, be-heren en bewaken van deze gegevens. Dus ook voor het voorkomen van een datalek. De Meldplicht Datalekken is ook solidair met de consument, doordat zij de dataverwerker beboet indien er een datalek plaatsvindt.

4.2.2 Publieke gerechtigheid Binnen de Meldplicht Datalekken is het niet zo, dat altijd de veroorzaker wordt beboet. Op verschil-lende wijze kan een datalek ontstaan. Het wordt rechtvaardig en vanzelfsprekend gevonden om een dataverwerker te bestraffen, wanneer deze door nalatig handelen een datalek heeft. Deze vanzelf-sprekendheid vervalt wanneer het datalek ontstaat door cyber-criminaliteit. De data-eigenaar wordt plotsklaps ook het slachtoffer. Maar vanuit solidariteit met de consument en het belang van zijn vertrouwen, is de oorzaak van het datalek niet belangrijk. Dit rechtvaardigt om een dataverwerker te straffen op het moment dat deze een datalek heeft en is er sprake van publieke gerechtigheid. Of zoals een dataverwerker zei: ‘een data-eigenaar die niet goed met data kan omgaan, is geen goede data-eigenaar’.

4.2.3 Rentmeesterschap Er is een gezegde dat zegt ‘vertrouwen komt te voet en gaat te paard’. Vertrouwen is ook de basis voor deze informatiesamenleving, zowel het vertrouwen van de consument als van de dataverwer-ker. Beiden zijn afhankelijk van de ICT voor: dienstverlening, product of consumeren. Bovendien hebben ze vaak een informatieachterstand. Voor iedereen, in de huidige maar ook toekomstige in-formatiesamenleving, is het wenselijk dat bekend is wat de meest voorkomende oorzaken van data-lekken zijn. Mogelijk dat hierop voorlichting en advies gegeven kan worden, zodat deze oorzaken in de toekomst verminderen. Het verzamelen van oorzaken van datalekken door de Meldplicht Datalekken is daarom goed. Maar onduidelijk is of het boetebeding voorkomt dat een dataverwerker een datalek meldt en of het onderlinge ‘sharen’ erdoor wordt belemmerd. Bovendien wordt het aantal datalekken niet minder en onduidelijk is wat de toezichthouder met de gegevens doet. Er is hierbij geen sprake van rentmeesterschap.



Het CDA-standpunt voor proportioneel straffen, waarbij gekeken wordt naar de oorzaak en de ge-volgschade van een datalek, doet dat wel. Het doel van deze meldplicht is dan: inzicht in de oorzaken van datalekken met het oog op preventie / vermindering. Dat is wel rentmeesterschap.

4.2.4 Gespreide verantwoordelijkheid Ieder onderdeel in de keten heeft een eigen verantwoordelijkheid ten aanzien van diens handelen binnen de Meldplicht Datalekken en de wijze waarop omgegaan wordt met de digitale en persoonlij-ke gegevens. Zowel de overheid, de toezichthouder, de dataverwerker als de consument, maar ook de softwareleverancier hebben hierin verantwoordelijkheid. Er is dus sprake van gespreide verant-woordelijkheid.



Hoofdstuk 5: Conclusie en aanbevelingen

5.1 Conclusie Is er sprake van ketenverantwoordelijkheid bij de Meldplicht Datalekken? Het antwoord op deze vraag is nee. Hoewel ieder onderdeel van de keten een eigen verantwoordelijkheid heeft, is er mo-menteel geen sprake van ketenverantwoordelijkheid. Dit komt door het internationale karakter van de keten, de verschillende internationale wetten en vele culturele verschillen. Maar ook door versplintering van de diverse onderdelen door outsourcing, onderaannemerschap, diversiteit aan softwareapplicaties en softwareleveranciers. Het doel van de Melplicht Datalekken is voor velen niet duidelijk. Een datalek melden, dicht het lek niet en zou mogelijk het onderlinge delen van informatie over de aanwezige datalekken en mogelijke oplossingen tussen de dataverwerkers belemmeren. De toezichthouder is momenteel onvoldoende toegerust om diens taak uit te voeren en datalekken zullen altijd blijven bestaan. Het is belangrijk om de risico’s beheersbaar en aanvaardbaar te houden. Veel dataverwerkers zijn niet goed geschoold om de ICT volledig te begrijpen. Een foutje zit al snel in een klein hoekje. De onevenwichtige afhankelijkheidsrelatie tussen dataverwerker en softwareleve-rancier bemoeilijkt dit nog eens. Het fundament van de informatiesamenleving blijkt het consumentenvertrouwen te zijn en deze mag niet geschaad worden.

5.2 Aanbeveling Vanwege het internationale karakter zal er op drie niveaus aanbevelingen gedaan worden door het CDA. CDA dringt aan op:

Europa: o het stimuleren van oprichting Europese Softwareleveranciers en Cloudproviders;

Landelijk: o versterken van het onderlinge vertrouwen tussen wetenschap, bedrijfsleven en

overheid. Neem het voortouw, bijvoorbeeld door bijeenkomsten te organiseren en te netwerken;

o aanstellen van een onafhankelijke consumentenbond, die een aantal softwarepak-ketten toelicht en op een rijtje zet. Meer transparantie en inzicht voor minder ICT-geschoolden, waardoor kritische grondhouding kan worden bevorderd. Softwarele-veranciers zullen mogelijk ook transparanter worden, omdat zij hun softwarepakket-ten willen verkopen;

o opstellen van landelijke wetgeving, die contracten nietig verklaard waarin zwakhe-den niet mogen worden onderzocht. Versterk daarmee de positie van de data-eigenaren en stimuleer hen om hun opgedane kennis te delen met de toezichthou-der en consumentenbond. Andere EU landen zullen mogelijk volgen;

o duidelijke communicatie door de toezichthouder aan de samenleving, over welke soorten datalekken zijn gemeld met mogelijke oplossingen en verantwoordelijken;

o faciliteren van Nederlandse gemeenten, zodat zij in 2018 aan de wettelijke eisen van de GDPR-verordening kunnen voldoen;

o opzetten landelijk bewustwordingscampagne over digitale risico’s en eigen verant-woordelijkheid.

Lokaal: o stellen van vragen aan de gemeente in hoeverre deze voldoet aan de GDPR-

verordening.



Literatuurlijst

Paper: Anderson, R. Barton, C. Böhme, R. Clayton, R. Van Eeten, M.J.G. Levi, M. Moore, T. Savage, S.(2012), Measuring the Cost of Cybercrime, Workshop on Economics in Information Security 2012

Richtlijn van het Europees Parlement en de Raad, houdende maatregelen om een hoog gemeen-schappelijk niveau van netwerken informatiebeveiliging (NIB) in de Unie te waarborgen, 7 maart 2013

Tijdschrift:

CDV, herfst 2014, Biopolitiek: de macht van Big Data

Website:

www.autoriteitpersoonsgegevens.nl, geraadpleegd op 15 februari 2016

www.rijksoverheid.nl, geraadpleegd op 15 februari 2016

https://www.tweedekamer.nl/downloads/document?id=80f12461-2b7d-44e0-b3d3-06853d2a66f3&title=Verslag.pdf, geraadpleegd op 12 april 2016

https://www.cda.nl/noord-holland/alkmaar/actueel/toon/artikel-42-vragen-over-algemene-verordening-gegevensbescherming/, geraadpleegd op 20 april 2016

www.vng.nl (ISD informatievoorziening sociaal domein), geraadpleegd op 20 april 2016

http://www.autoriteitpersoonsgegevens.nl/

http://www.rijksoverheid.nl/

https://www.tweedekamer.nl/downloads/document?id=80f12461-2b7d-44e0-b3d3-06853d2a66f3&title=Verslag.pdf


https://www.cda.nl/noord-holland/alkmaar/actueel/toon/artikel-42-vragen-over-algemene-verordening-gegevensbescherming/


http://www.vng.nl/



Bijlage 1: Geïnterviewde Personen en Vragenlijst Met de geïnterviewden is afgesproken, dat zij geanonimiseerd meegenomen worden in mijn paper. De samenstelling van de lijst geïnterviewden is in samenspraak met mijn begeleider, de heer Marnix van Rij, opgesteld.

De cijfers laten zien hoeveel mensen op het betreffende niveau en in die branche geïnterviewd zijn.

Geïnterviewde personen

Branche/niveau Internationaal Landelijk Regionaal

Wetenschap 1 1

Bedrijfsleven 2

Politiek 1 2 2

Vragenlijst: Model laten zien. Vraag 1: Is dit een passend overzicht ten aanzien van het melden en oplossen van datalekken? Ja / nee en waarom?

Vraag 2: Vindt u dat het beschermen van data-gegevens een ketenverantwoordelijkheid is? - Ja / nee en waarom? Vraag 3: Vindt u dat het een ketenverantwoordelijkheid is om een datalek op te lossen? - Ja / nee en waarom? Vraag 4: Is er momenteel sprake van een ketenverantwoordelijkheid bij de bescherming van data-gegevens? - Ja / nee en waarom?

Vraag 5: Hoe kan deze ketenverantwoordelijkheid beter worden geoptimaliseerd / gestimuleerd door nieuwe wetgeving of door het ontwikkelen van een moral code?

- Waarom nieuwe wetgeving? - Waarom ontwikkelen moral code?

Vraag 6: Welke stappen moeten nu gezet worden en door wie, om deze ketenverantwoordelijkheid te stimu-leren / optimaliseren?

Vraag 7: Zijn er nog zaken die u mij mee wilt geven?



Bijlage 2: Samenvatting van de antwoorden

Vraag Wetenschap Bedrijfsleven Politiek

1 Nee, softwareleverancier moet ernaast getekend worden.

Nee, softwareleverancier zit er niet in, tenzij deze ook het beheer en de bewaking doet.

Ja. 1x Nee.

2 Nee, de data-eigenaar is verantwoordelijk.

Nee, de data-eigenaar is ver-antwoordelijk.

Ja. Echter, de keten is zo sterk als de zwakste schakel. Nee, dataverwerker is verantwoordelijk, want deze kan er wat mee doen.

3 Nee, alleen als software leverancier ook beheer en bewaking doet.

Nee, alleen als software leve-rancier ook het beheer en bewaking doet.

Ja, maar alleen als het lek een gevolg is van cyber-crime. Bij nalatig hande-len, dan niet. Iedereen die betrokken is en kennis krijgt van het lek moet dit melden.

4 Nee. Nee. Nee. 1x ja, omdat er tussen allerlei branches momen-teel afspraken worden gemaakt tussen software-leveranciers, data-eigenaren en sectorale toezichthouders.

5 Behaveral economics. Bij moral code altijd een wetgever als achtervang. Wetgever kan positie data-eigenaar versterken. Lastig, i.v.m. market-failure en government-failure.

Beiden gaan falen, omdat de contracten internationaal worden afgesloten en het probleem in beheer zit. Normenstelsel zou kunnen, maar dan rekening houden met de internationaal verschil-lende culturen. Meer vertrouwen in de bedrij-ven / markt zelf is oplossing.

Wetgever als achtervang, laat het de markt eerst zelf oplossen. Beiden zijn van belang. Niet alleen wetgever, deze loopt achter feiten aan. Wetgeving moet alleen wat aangescherpt wor-den op bewijslast en sancties.




6 Door marktprikkels te ver-anderen: - Aanstellen soort consu-mentenbond / onafhanke-lijke groep die verschillen tussen pakketten zichtbaar maakt.

- Zwaarder straffen data-eigenaren bij datalek.

- Ongeldig verklaren van contracten als je een product niet uit elkaar mag ha-len in Nederland.

Risico neerleggen bij dege-ne die op de goedkoopste manier het risico kan weg-nemen.

Keten als workflow zien, dan transporteer je de verant-woordelijkheid mee.

- Data-eigenaren harder straffen.

- Uitbreiding van de toezichthouders.

(Let wel op, handhaving werkt niet voor internationals.) Lastig omdat veilige software in een onveilig systeem ge-hangen kan worden. Een aanspreekpunt DPO, die verantwoordelijk maken. Die zal meer samenwerking met andere organisaties zoeken. Sharing tussen de teams. Meldplicht verstoort het pro-ces van sharen tussen bedrij-ven over het virus.

Lekken blijven altijd be-staan, we moeten zorgen voor goede back-up sys-temen. Partijen moeten van ei-gen eiland afkomen en meer samenwerken. Rol voor VNG om op te treden als vertegenwoor-diger. Grensoverschrijdend aspect. lastig. Ultiem regelen kan niet, daarom doen rechters hier een uitspaak over. Daar moeten we op ver-trouwen. Meldplicht zo soepel mo-gelijk maken, drempels wegnemen.

7 Ketenverantwoordelijkheid is praktisch niet haalbaar, iedereen schuift af. Bescherm Data-eigenaren onder Nederlandse wetge-ving. Bied hulp door consumen-tenbond. Koop eventueel ook on-derhoud en beheer samen in. Accepteren dat datalekken plaatsvinden.

Ketenverantwoordelijkheid is praktisch niet haalbaar, veel onderdelen zijn geoutsourced met onderaannemerschap. Een bestuurder die niet ac-teert, is geen goed bestuur-der. Gemeente beschikt niet over voldoende kennis, middelen en slagkracht. Zij kan nooit een goede data-eigenaar zijn, eerder een consument. Overheid moet hulp bieden om de datalekken inzichtelijk te krijgen.

Toezichthouder moet niet doorslaan. Als er niets gelekt is dan geen pro-bleem (proportionali-teitsprincipe). Waar zit de eigen be-voegdheid van de ge-meente? Decentraal ge-steld, maar alles moet nog aan centrale eisen voldoen Mensen hebben weinig vertrouwen om de infor-matie te delen.




7 (ver-

volg) Consumenten hebben ook een eigen verantwoorde-lijkheid. Je kunt een data-eigenaar niet verantwoor-delijk stellen op het mo-ment dat een klant zijn pincode afgeeft over een telefoon. Alert zijn op cy-bercriminaliteit.

Wetgever moet werkend stel-sel maken, maar daarbij ook de competenties meegeven om het stelsel werkend te houden. Toezichthouder moet wel in staat gesteld worden om toe-zicht te kunnen houden. Wat is nu het werkelijke doel van deze wet? De strategie erachter? Politiek moet niet heftiger gaan reguleren dan nodig is, daar worden mijn persoons-gegevens niet veiliger door. Het verstoort wel het proces van sharing.

Misschien als EU investe-ren in BIG DATA softwa-releveranciers, als rele-vant tegenwicht. Als samenleving hebben we geen terugvaloptie. Als de systemen uitvallen, is er een groot probleem. Er is een onevenredig grote afhankelijkheid. Burgers moeten een kriti-sche houding aannemen ten aanzien van wat er met hun gegevens ge-beurt. Er moet meer duidelijk-heid komen over wat er gemeld moet worden, wanneer Autoriteit Per-soonsgegevens optreedt en dat op hun website zetten.



Bijlage 3: Gestarte actie landelijk

Naar aanleiding van het interview met iemand van het landelijk CDA, heeft het CDA de regering de volgende vragen gesteld bij het wetsvoorstel ‘gegevensverwerking en meldplicht cybersecurity’ op 15 maart 2016.

Vragen CDA-fractie bij de Wet gegevensverwerking en meldplicht cybersecurity, artikel 1

De leden van de CDA-fractie vragen de regering naar aanleiding van de ‘Herijkte lijst vitale infrastruc-tuur’ (Kamerstuk nr. 30821, nr. 23, p. 5) of gemeenten ook onder de reikwijdte van onderhavig wets-voorstel vallen. Dit omdat ‘digitale overheid’ ook in deze lijst, onder categorie B is opgenomen.

Los van of dat het geval is, vragen de leden van de CDA-fractie de regering nader in te gaan op de wijze waarop gemeenten zich hebben voorbereid op het inmiddels in werking getreden wetsvoorstel ‘meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp’ per 1 januari jl. Herkent de regering het beeld dat de digitale infrastructuur van gemeenten nog onvoldoende is toegerust op voorkomen van datalekken, door gebrek aan expertise en financiële middelen? Hoe ondersteunt de regering gemeenten hierin, juist nu gemeenten, door onder meer de transities in de zorg, steeds meer bijzondere persoonsgegevens verwerken? Kan de regering aangeven in hoeverre gemeenten de ad-viezen van de Informatie Beveiligingsdienst (IGB) heeft opgevolgd om voorbereid te zijn op deze nieuwe meldplicht omtrent het datalekken? Lopen zij hierin tegen (financiële) problemen aan? Het betreft onder andere het uitvoeren van een baselinetoets BIG en een Privacy Impact Assessment, af-sluiten van gebruikersovereenkomst met cloud-dienstverleners, aanpassen van de bewerkersovereen-komsten, verantwoordelijke ambtenaren benoemen op het terrein van gemeentelijk informatiebevei-ligingsbeleid, inrichten van een incidentmanagementproces, registratie van alle gegevensverzamelin-gen, logging en monotoring van verzamelde gegevens en vergroten van bewustwording onder me-dewerkers (https://www.ibdgemeenten.nl/wp-content/uploads/2016/01/Leaflet-Meldplicht-Datalekken.pdf). Graag vernemen deze leden hierop een reactie van de regering.

Zie link;

https://www.tweedekamer.nl/downloads/document?id=80f12461-2b7d-44e0-b3d3-06853d2a66f3&title=Verslag.pdf, Pagina 14

https://www.ibdgemeenten.nl/wp-content/uploads/2016/01/Leaflet-Meldplicht-Datalekken.pdf

https://www.ibdgemeenten.nl/wp-content/uploads/2016/01/Leaflet-Meldplicht-Datalekken.pdf





Bijlage 4: Gestarte actie lokaal

Naar aanleiding van mijn paper heeft het CDA Alkmaar het college de volgende vragen gesteld op 19 april 2016.

Schriftelijke vragen in het kader van artikel 42 RvO

Aan het college van burgemeester en wethouders te Alkmaar

Alkmaar, 19 april 2016

Betreft: Algemene Verordening Gegevensbescherming

Geacht college,

Het Europese Parlement heeft op 14 april jl de Europese verordening ‘General Data Protection Regu-lation’ (GDPR) goedgekeurd. In het Nederlands heet deze verordening ‘Algemene Verordening Gege-vensbescherming’ (AVG). De verordening zal in 2018 in werking treden.

De Algemene Verordening Gegevensbescherming vervangt onder andere de Wet Bescherming Per-soonsgegevens. De verordening zal voor gemeenten de basis vormen van hoe zij met persoonsgege-vens en ook met andere datagegevens moeten omgaan.

Niet alleen gemeenten moeten in 2018 aan deze verordening voldoen, maar alle profit en non-profit organisaties binnen de Europese Unie. Indien zij dit niet doen, zullen zij beboet worden.

Het CDA heeft de volgende vragen aan het college:

1. Is het college op de hoogte van de inhoud van de GDPR? 2. In hoeverre voldoet de gemeente Alkmaar aan de eisen van deze verordening? 3. Welke stappen moet de gemeente Alkmaar nog zetten om aan de AVG in 2018 te voldoen? 4. Welke investeringen moet de gemeente Alkmaar nog plegen om aan de AVG te voldoen?

In afwachting op uw antwoord.

Met vriendelijke groet, Iris Zeijlemaker Raadslid CDA Alkmaar

Zie link:




gebruik persoonsgegevens · heid bij de Meldplicht Datalekken. Ik wilde een onderwerp schrijven...

Documents

Transcript of gebruik persoonsgegevens · heid bij de Meldplicht Datalekken. Ik wilde een onderwerp schrijven...