CBP plaatst studenten buiten spel

Na een half jaar is er weer nieuws over het handhavingsverzoek van de studenten OV-chipkaart! Het CBP heeft op 7 juni 2011 definitief besloten ons niet als belanghebbende aan te merken m.b.t. het onderzoek naar de studenten OV-chipkaart, dat de privacywaakhond naar aanleiding van ons verzoek heeft ingesteld. De brief is hier te lezen en ons bezwaar van 21 maart 2011 is hier te lezen. In dit bericht zullen we kort stil staan bij de gang van zaken die tot dit besluit heeft geleid en hier een oordeel over geven.  

Optreden van CBP inzake studenten OV-chipkaart

Op 8 februari 2010 hebben vijf Clinic-studenten onder begeleiding van universitair hoofddocent Gerrit-Jan Zwenne van de afdeling eLaw@Leiden van de Universiteit Leiden (link) een handhavingsverzoek naar het College Bescherming Persoonsgegevens gestuurd. In de brief werd het CBP verzocht de Wet bescherming persoonsgegevens te handhaven met betrekking tot het beleid van openbaar vervoer bedrijven inzake de studenten OV-chipkaart. De brief had een bijlage van honderd pagina’s en op verzoek van het CBP is nog een uitgebreide toelichting gestuurd. Naar aanleiding van onze brief stelde het CBP een onderzoek in.  

Uiteindelijk vaardigde het CBP op 9 december 2010 een persbericht uit waarin zij stelde dat de GVB, RET, NS en Trans Link Systems in strijd met de Wet bescherming persoonsgegevens hebben gehandeld. Dit zijn ook de bedrijven geweest die in het verzoek werden genoemd, aangezien daarmee door de indieners van het handhavingsverzoek is gereisd. Andere OV-bedrijven zoals Veolia heeft het CBP niet in het onderzoek betrokken. Over het besluit van CBP is eerder dit uitgebreide blogbericht geschreven 

In het kort komt het besluit van het CBP er op neer dat alle OV-bedrijven de Wbp niet correct hebben nageleefd. De persoonsgegevens van studenten worden op basis van verkeerde gronden in de Wbp verwerkt en (op de NS na) zijn de gegevens veel te lang bewaard. Het CBP zag geen concrete aanwijzingen dat de beveiliging van persoonsgegevens niet op orde was en is nauwelijks ingegaan op een belangrijk punt van ons handhavingsverzoek, namelijk het verwerken van persoonsgegevens voor reclame-doeleinden. Wat ons betreft past dit niet binnen de taakstelling van openbaar vervoer bedrijven. De toezichthouder ging hier alleen op in door te herhalen wat OV-bedrijven met betrekking tot dit onderwerp in een openbare melding hadden aangegeven.  

Normaal gesproken worden na de publicatie van de voorlopige bevindingen de belanghebbenden gehoord. Wat ons betreft waren dat de openbare vervoer bedrijven en de indieners van het handhavingsverzoek. Vervolgens worden de definitieve onderzoeksresultaten gepubliceerd. Daar heeft het CBP echter een stokje voor gestoken.  

Wel of geen belanghebbende?

In plaats van een uitnodiging voor een hoorzitting kregen we van het CBP op 3 februari 2011 – een jaar na ons handhavingsverzoek! – een brief met de mededeling dat we geen belanghebbenden zouden zijn. Hier zijn we op 21 maart 2011 tegen in bezwaar gegaan en op 7 juni 2011 heeft het CBP definitief beslist dat we geen belanghebbende zijn.  

De beslissing van het CBP lijkt niet goed doordacht. Anders dan het CBP veronderstelt ligt ons belang niet bij een ‘subjectief gevoel van sterkte betrokkenheid’, maar hadden wij ten tijde van het handhavingsverzoek een studenten OV-chipkaart en zijn onze persoonsgegevens vermoedelijk in strijd met de Wet bescherming persoonsgegevens verwerkt. Bovendien gaf het CBP ons letterlijk de indruk dat wij belanghebbenden waren, door in haar brief van 1 april 2010 de procedure uit te leggen: “Conform de wettelijke procedure zullen deze partijen de gelegenheid krijgen te reageren op de voorlopige bevindingen van het CBP. Hierna wordt het onderzoek afgerond met de definitieve bevindingen. Vervolgens zal het CBP op grond van de definitieve bevindingen een gemotiveerde beslissing nemen op uw handhavingsverzoek. Het CBP verwacht hiervoor nog enige tijd nodig te hebben. Uiteraard houdt het CBP u op de hoogte van de voortgang.” Deze uitleg is conform artikel 60 lid 3 Wbp, waarin staat dat het College mededeling van haar bevindingen mededeling doet aan de belanghebbende. 

Door ons niet als belanghebbende aan te merken kunnen wij niet meer reageren op de voorlopige bevindingen van het onderzoek en geen invloed meer uitoefenen op de definitieve bevindingen van het studenten OV-chipkaart onderzoek. Het CBP heeft ons daarmee effectief buiten spel geplaatst.  

Conclusie

Het is ons volstrekt onduidelijk gebleven welke maatregelen de OV-bedrijven hebben genomen naar aanleiding van de vernietigende voorlopige bevindingen van het CBP in december 2010. Het niet-aanmerken van ons als belanghebbende vinden wij onbegrijpelijk. Een toezichthouder kan blijkbaar bij gelegenheid mensen aanmerken als belanghebbende of niet en hen daarmee buiten spel zetten. Het verbaast ons dat het CBP op deze onelegante en onprofessionele wijze omgaat met concrete belangen van data subjecten.  

Toch zijn we blij dat naar aanleiding van ons handhavingsverzoek een onderzoek is ingesteld en in eerste instantie is geoordeeld dat de OV-bedrijven in strijd met de wet hebben gehandeld. Hopelijk neemt het College op korte termijn haar beslissing (wij wachten immers al bijna anderhalf jaar) en blijft het besluit uit december overeind.

Meldplicht datalekken

ICT~Office heeft gisteren (dinsdag 7 juni 2011) een interessant bericht geplaatst over de
‘onuitvoerbaarheid’ van de voorgestelde meldplicht voor aanbieders van een telecommunicatiedienst. In dit bericht wil ik kort stil staan bij de argumenten die de organisatie aandraagt, achtergrondinformatie geven over de  drie verschillende meldplichten die nu in de pijpleiding zitten, en mijn eigen mening hier over geven.

Op grond van het voorgestelde 11.3a in de gewijzigde Telecommunicatiewet (Kamerstukken II 2010/2011, 32 549, nr. 2) moet een aanbieder van een openbare elektronische communicatiedienst betrokkenen informeren ‘indien de beveiliging wordt
doorbroken en dit nadelige gevolgen heeft voor de privacy’. In lid 5 staat een belangrijke uitzondering waarin staat dat de kennisgeving aan de betrokkene achterwege kan blijven indien de communicatieaanbieder ‘naar het oordeel van het college gepaste technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft, versleuteld of anderszins onbegrijpelijk zijn voor een ieder die geen recht op toegang tot die gegevens’. Het versleutelen van gegevens kan een kennisgeving aan betrokkenen dus voorkomen, maar wel nadat de OPTA over elk incident zijn oordeel heeft geveld.

Daarnaast wordt in het wetsvoorstel – die overigens is opgesteld naar aanleiding van de
implementatie van Europese regelgeving in ons nationale systeem – een artikel voorgesteld voor een meldplicht ‘bij veiligheidsinbreuken en het verlies van integriteit in het geval deze een belangrijk effect hebben gehad op de continuïteit van het netwerk of de daarover geleverde diensten’. Bij deze meldplicht staat het voorkomen van interruptie van het openbare elektronische communicatieverkeer en het onderbreken van openbare elektronische communicatiediensten voorop. De melding moet plaatsvinden bij de Minister van Economische Zaken (die het afhandelen ervan mogelijk delegeert aan het Agentschap Telecom).

In de Memorie van Toelichting (MvT) wordt opgemerkt dat overlap kan plaatsvinden bij
de eerder genoemde meldplicht, aangezien een veiligheidsinbreuk tegelijkertijd kan leiden tot een belangrijk effect op de continuïteit en het ongewild vrijkomen van gegevens. In de toelichting wordt toegezegd dat zal moeten worden gezorgd dat beide meldingen praktisch gezien bij eenzelfde meldpunt kunnen worden gedaan. Het meldpunt moet ervoor zorgen dat de melding bij de juiste instantie terecht komt. Dit zou de administratieve lasten moeten verminderen. Wel blijft het meldpunt beperkt tot aanbieders van openbare elektronische communicatiediensten. In de praktijk zal het vooral van belang zijn voor internet service providers die toegang verschaffen tot internet, aldus de Memorie van Toelichting.

Tenslotte heeft de regering in een brief van 27 april 2011 (kenmerk: 5688920/11/6) aan de Kamer laten weten dat zij een algemene meldplicht in de Wet bescherming
persoonsgegevens willen laten vastleggen voor de ‘doorbreking van maatregelen voor de beveiliging van persoonsgegevens’. Afgevraagd kan worden of hier op een melding van alle succesvolle hackpogingen op een systeem met persoonsgegevens wordt gedoeld of alleen in die situaties waarbij ook de integriteit van persoonsgegevens wordt aangetast. De precieze invulling van de algemene meldplicht is nog geheel onduidelijk, maar klinkt op het eerste gezicht erg breed.

Argumenten ICT~Office

Ten eerste zou de meldplicht niet nodig zijn, aangezien een bredere meldplicht al wordt
voorbereid. Hierbij moet de betrokken geïnformeerd worden en zal het CBP op deze bepaling toezicht houden. De inhoud van deze algemene meldplicht is nog onduidelijk, dus het is nog onduidelijk of de specifieke meldplicht voor openbare elektronische communicatieaanbieders wenselijk is.

Ten tweede is het wetsvoorstel onuitvoerbaar, omdat niet is vast te stellen welke
persoonsgegevens van welke betrokkenen precies in het spel zijn. ‘ICT~Office wil niet dat aanbieders worden verplicht om data inhoudelijk te doorzoeken.’ Het doorzoeken van de data om de betrokkenen te identificeren lijkt mij een logisch gevolg van de wettelijke bepaling en onontkoomlijk. Dat is niet perse onuitvoerbaar, maar het wel wordt inderdaad wellicht onderschat welke last dat oplevert voor de betrokken instanties.

Ten derde beargumenteerd ICT~Office dat niet duidelijk is welke incidenten er wel of niet moet worden gemeld. Met betrekking tot de meldplicht uit de Telecommunicatiewet
lijkt het er op dat alle incidenten waarbij persoonsgegevens in gevaar zijn gekomen bij de meldinstantie worden gemeld. Wel lijkt de reikwijdte van meldplicht nog zeer breed.

Ten vierde worden de administratieve lasten voor de openbare elektronische
communicatieaanbieders volgens ICT~Office onderschat. Dit punt hangt samen met
het tweede. Het argument van verschillende toezichthouders is m.b.t. de meldplicht voor verlies van persoonsgegevens is deels waar. In de MvT staat dat een meldpunt moet komen die de meldingen bij de juiste plaats moet komen. Dit geldt alleen niet voor algemene meldingen, waar het CBP op moet toezien, maar zoals gezegd is de formulering van de regeling nog onduidelijk. Wel is het een aspect om mee te nemen. Het CBP heeft zelf ook al gewezen op het onwenselijke onderscheid van toezichthouders bij meldplichten die op hetzelfde belang zien.

Conclusie

Persoonlijk denk ik dat een algemene meldplicht een grotere druk legt op bedrijven en
instellingen die gegevens verwerken, de gegevens goed te beveiligen met technische en organisatorische maatregelen. Het verwerken van persoonsgegevens brengt deze ook met verantwoordelijkheid met zich mee o.g.v. artikel 13 Wet bescherming persoonsgegevens. Kennisgeving van een datalek leidt tot reputatieschade en de desbetreffende bedrijven zullen dat willen voorkomen. Wellicht kan dat in de voorgestelde regeling voor de telecomwet door de gegevens te versleutelen. Wel zijn de administratieve kosten van een dergelijke regeling groot en heeft de regeling nogal wat voeten in de aarde. Nu worden
drie verschillende meldplichten voorbereid en nagegaan moet worden of dit wel noodzakelijk en efficiënt is.

In de Verenigde Staten bestaat voor veel staten al een meldplicht voor veiligheidsinbreuken waarbij de integriteit van persoonsgegevens in gevaar is gebracht. In Japan is ook een meldplicht doorgevoerd. Gekeken kan worden naar de ervaringen van de meldplicht in deze landen (zie ook stuk ‘Datalekken: wachten op een zondvloed?’ van Steven de Schrijver in Computerrecht 2008). Ik houd mij aanbevolen voor interessante
literatuur op dit onderwerp!