Column


IT-jurist Peter van Schelven over...

Datalekken: politie over de vloer?

Stel, uw organisatie is slachtoffer van ‘computervredebreuk’. Een hacker, al dan niet lid van een gehaaide criminele organisatie, heeft op brutale wijze illegaal ingebroken in een van uw IT-systemen, met als gevolg dat veel van de door u gevoerde persoonsgegevens op straat zijn komen te liggen. Als de persoonlijke levenssfeer van de burgers op wie de gegevens betrekking hebben, door de hack ernstig op het spel staat, dan verplicht de privacywet u dit datalek te melden. Namens uw organisatie doet u een melding bij de privacytoezichthouder – de Autoriteit Persoonsgegevens (AP) – alsook bij de betrokken burgers. Maar hacken is volgens de Nederlandse strafwetgeving ook een strafbaar feit en dat plaatst u dus voor de vraag of u – naast de melding van het datalek – ook aangifte bij politie of justitie moet doen. Verplicht is het doen van een strafrechtelijke aangifte uiteraard niet.

Geringe pakkans
Het is zeer de vraag of u van een aangifte veel wijzer wordt. Ondanks uitbreiding van het korps van cybercrime-rechercheurs en digitale experts hebben politie en justitie in de strijd tegen deze vorm van internetcriminaliteit, naar het lijkt, niet al te veel in de melk te brokkelen. Dat geldt zeker bij complexe en grensoverschrijdende cybercrime, waarbij hackers vanuit duistere plekken ergens ver weg op de aardbol opereren. De kans dat cybercriminelen gepakt worden is algemeen gesproken uitermate klein. Eigenlijk mag u al blij zijn als u van de politie te horen krijgt dat er iets met uw aangifte wordt gedaan. Bovendien: zit u er echt op te wachten dat dienders met politiepet en uniformen met gele strepen van het plaatselijke politiebureau bij u op kantoor komen om de zaak nog eens te bespreken? Alleen al de onrust die dit onder uw personeel oproept, is niet iets om blij van te worden. Als juridisch adviseur van bedrijven zal ik dus niet snel adviseren tot het doen van aangifte wegens cybercrime.

Niet openbaar register: papieren werkelijkheid?
De wet die sinds begin dit jaar een meldplicht bij datalekken in het leven heeft geroepen, heeft ‘op papier’ niets met strafrecht en justitie te maken. Maar schijn bedriegt. Want, bent u verzekerd dat uw keurige melding van een datalek bij de privacytoezichthouder - de AP - niet tegen uw wil onverhoopt toch in handen van justitie terechtkomt? Die zekerheid geeft de privacywet niet en dat is een bedenkelijk gat in uw bescherming. De AP zelf heeft onlangs aangegeven dat zij de gegevens van uw melding netjes opneemt in een niet openbaar register, met de bedoeling te waarborgen dat de informatie die u bij uw melding over bijvoorbeeld uw securitymaatregelen aan de AP verstrekt, binnenshuis bij de toezichthouder blijft. Dat is op zich een goede zaak. Maar over die geheel andere vraag of de AP ook gedwongen kan worden uw bedrijfs- en securitygegevens op vordering aan de strafrechtsautoriteiten te verstrekken, zwijgt de privacywet in alle toonaarden. Het risico is dus niet uitgesloten dat langs die weg informatie over uw security tegen uw wil bij justitie terechtkomt. En dat is, zo lijkt mij, bedenkelijk, zeker als u er de voorkeur aan geeft om justitie in dit soort kwesties ver op afstand te willen houden. Bijvoorbeeld omdat uw vertrouwen in justitie gering is.

Het genoemde risico is overigens zeker niet denkbeeldig, nu jarenlange ervaring leert dat justitie ook andere toezichthouders uit de overheidssfeer soms voor haar opsporingskarretje spant. Bekend zijn de voorbeelden waarin de Inspectie voor de Gezondheidszorg door justitie betrokken wordt bij de opsporing van medische strafzaken. De stap om de privacytoezichthouder bij de opsporing van cybercrime te betrekken, lijkt in dat licht dus ook niet zo groot.

Dat de strafrechtautoriteiten zelf ook het oog hebben laten vallen op de Wet meldplicht datalekken, blijkt wel uit een recent interview met mr. Martijn Egberts, landelijk officier van justitie cybercrime bij het Openbaar Ministerie. In Het Financieele Dagblad van afgelopen zaterdag zegt hij over de meldplicht uit de privacywet: “De bedrijven mogen ervan uitgaan dat op zo’n melding ook actie van de politie volgt.” Voor mij is het nog maar zeer de vraag of mr. Egberts het wat dat betreft bij het rechte eind heeft. Zolang justitie nog maar weinig betekent in de bestrijding van ernstige cybercrime, zijn bedrijven wellicht beter af als de dienders van politie voorlopig maar ver weg blijven. Het valt daarom te hopen dat ook de Autoriteit Persoonsgegevens de mensen van justitie voorlopig op flinke afstand weet te houden.

 


Lees meer over