| Ingediend | 9 september 2010 |
|---|---|
| Beantwoord | 7 oktober 2010 (na 28 dagen) |
| Indiener | Sharon Gesthuizen (GL) |
| Beantwoord door | |
| Onderwerpen | economie ict |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2010Z12534.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20102011-165.html |
Ja, ik ken het bericht. De precieze feiten en omstandigheden van dit geval zijn mij evenwel niet bekend. In het algemeen geldt dat de eerste verantwoordelijkheid voor het inlichten over datalekken ligt bij de gegevensbeheerder.
Ik ben van oordeel dat alle verantwoordelijkenvoor de verwerking van persoonsgegevens, waaronder ook bedrijven zoals financiële instellingen, hun wettelijke verplichting tot het treffen van technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking dienen na te komen. Ik ben ook van oordeel dat een expliciete wettelijke verplichting voor hen om in ieder geval de betrokkenen en mogelijk ook de toezichthouder in te lichten over de door hen geconstateerde inbreuken op deze beveiligingsmaatregelen, een nuttige ondersteuning van de door de beveiligingsverplichting beschermde belangen betekent.
Ik streef ernaar de door mij reeds in het algemeen overleg met de vaste kamercommissie voor Justitie op 3 februari 2010 (Kamerstukken II 2009/10, 31 051, nr. 7) toegezegde wettelijke verankering van deze aanvullende verplichting in de Wet bescherming persoonsgegevens volgend jaar aan de Kamer voor te leggen. De wijze waarop de meldplicht voor geconstateerde doorbraken van de beveiliging van persoonsgegevens moet worden vormgegeven, zal nog nader moeten worden bepaald.
Dit laat onverlet dat een invoering van een specifieke meldplicht voor inbreuken op de beveiliging van persoonsgegevens in de elektronische communicatiesector, neergelegd in richtlijn nr. 2009/136/EG, door Nederland naar verwachting in mei volgend jaar zal worden geïmplementeerd.
De wijziging van de Telecommunicatiewet die daarvoor nodig is, zal nog dit najaar aan uw Kamer worden aangeboden. Het is inderdaad zo dat deze wijziging van de Telecommunicatiewet alleen betrekking heeft op beveiligingsinbreuken die gepaard gaan met verlies van persoonsgegevens door de invoering van een meldplicht die alleen geldt voor aanbieders van openbare elektronische communicatiediensten. Dat vloeit voort uit de beperking van de reikwijdte van de hierboven bedoelde richtlijn.
Een breed geldende meldplicht is geen garantie voor een betere beveiliging, maar kan de optimalisering van beveiliging wel stimuleren. Dit neemt niet weg dat instellingen, organisaties en bedrijven die gevoelige gegevens beheren, los van welke eventuele meldplicht ook, gehouden zijn hun systemen tegen inbreuken van buitenaf adequaat te beveiligen.
De wijze waarop de meldplicht voor geconstateerde doorbraken van de beveiliging van persoonsgegevens moet worden vormgegeven, zal nog nader moeten worden bepaald. Overleg met het bedrijfsleven, het College bescherming persoonsgegevens en de Onafhankelijke post- en telecommunicatieautoriteit zal daarvoor ook noodzakelijk zijn.
Zie antwoord vraag 2.
Hierbij bericht ik u, mede namens de Minister van Economische Zaken, dat de schriftelijke vragen van het lid Gesthuizen (SP) over het invoeren van een meldplicht voor datalekken (ingezonden 9 september 2010) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie ontvangen is. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.