Column


IT-jurist Peter van Schelven over...

Plasterk en gemeentelijke datalekken

Minister Plasterk (BZK) heeft een reeks van vragen over gemeentelijke informatiebeveiliging beantwoord van Astrid Oosenbrug, lid van de PvdA-fractie in de Tweede Kamer. Aanleiding voor de vragen vormden enkele publicaties van onder andere NRC waarin werd gesuggereerd dat het rondom datalekken binnen gemeenten ‘een beetje een zooitje’ is en dat ‘organisaties worstelen’. In zijn schriftelijke antwoord deze week weigert Plasterk uitdrukkelijk mee te gaan in dit soort kwalificaties.

Geen polonaise
De reactie van de minister doet overwegend formalistisch aan. Hij trapt een open deur in daar waar hij opmerkt dat gemeenten zich aan de wettelijke verplichtingen rondom informatiebeveiliging en het melden van datalekken moeten houden. Daarnaast benadrukt hij de autonome verantwoordelijkheid die gemeenten op dit gebied hebben en de eigen rol die de privacywaakhond, de Autoriteit Persoonsgegevens, heeft bij de handhaving en het uitdelen van boetes bij schending van die verplichtingen.

Plasterk gebruikt veel woorden, maar zijn antwoorden stralen uit: “Aan mijn lijf geen polonaise voor gemeentelijke datalekken…” Zo zegt hij onder meer dat het aan de Autoriteit Persoonsgegevens en niet aan hem is om te besluiten of een boete of een andere interventie op zijn plaats is. Formeel-juridisch klopt dat uiteraard, maar de minister gaat dan wel voorbij aan de bij velen bestaande zorgen dat veel gemeenten hun securityzaakjes onvoldoende op orde hebben. Uit niets in zijn beantwoording blijkt dat Plasterk die zorgen deelt.

Boetes voor gemeenten?
Opmerkelijk is ook dat de minister voorbij gaat aan een grote dreigende lacune in de komende wetgeving, waaraan al eerder in de media aandacht is gegeven. De Algemene Verordening Gegevensbescherming (AVG), de nieuwe Europese privacywet waaraan gemeenten in mei 2018 moeten voldoen, zegt dat overheden bij schending van hun securityplichten en bij schending van de meldplichten bij datalekken niet beboet kunnen worden, tenzij er in de nationale wetgeving wordt bepaald dat de toezichthouder overheden wel mag gaan beboeten.

In het in december jongstleden gepubliceerde voorontwerp van de Uitvoeringswet AVG, gemaakt door het departement van Veiligheid en Justitie, is die boetebevoegdheid niet opgenomen. Zoals het er nu dus naar uitziet hebben gemeenten vanaf mei 2018 geen boetes te vrezen, tenzij de Nederlandse wetgever alsnog besluit gemeenten beboetbaar te maken. Plasterk gaat in zijn beantwoording met geen woord in op deze dreigende omissie in de komende wetgeving.

De beantwoording van de Kamervragen is in mijn ogen ook anderszins onbevredigend. Het heeft er alle schijn van dat de minister zijn hand boven het hoofd van de gemeenten wil houden. Zo schrijft hij letterlijk: “Dat er zich incidenten voordoen, betekent mijns inziens niet dat gemeenten niet in staat zijn zelf hun informatiesystemen te beveiligen.” Een lange reeks gemeentelijke security-incidenten die de afgelopen jaren de media heeft gehaald, roept nogal wat vragen op. De minister gaat er volledig aan voorbij.

Meldplicht naar burgers
Ook op de vraag van Oosenbrug of de minister de mening deelt dat het ‘zeer schokkend’ is dat slechts bij 18 procent van de datalekken bij gemeenten aan de betrokken burgers wordt gemeld, volstaat de minister met een formele verwijzing naar het wettelijke criterium voor die meldplicht. Plasterk noemt dat de Wet bescherming persoonsgegevens bepaalt dat een melding gedaan moet worden aan de burger als een datalek waarschijnlijk ongunstige gevolgen heeft voor de persoonlijke levenssfeer. De gemeente moet, aldus de minister, daarbij haar eigen afwegingen maken en dus meent hij dat hij zich daarover verder niet hoeft uit te laten. De houding van de minister, die louter gestoeld is op juridische argumenten, getuigt niet van veel warmte voor security en de bescherming van de burger.

AVG: stand van zaken?
Voorts valt op dat de minister zegt niet te weten hoe de vlag ervoor staat wat betreft de implementatie van de AVG in gemeenten. In zijn beantwoording schrijft hij: “Ik kan op basis van de onderzoeken geen conclusies trekken over hoe ver de gemeenten zijn met het zich voorbereiden op de AVG. Ook voor de implementatie zijn de gemeenten zelf verantwoordelijk.” De minister heeft niet echt een beeld wat er in gemeenteland op het gebied van privacy en security gebeurt.

Kortom, van het ministerie van BZK hoeven we dus niet veel te verwachten daar waar het de implementatie van de nieuwe Europese privacywetgeving op gemeenteniveau betreft. Plasterk houdt de boot vrijwel volledig af. Eerlijk gezegd: ik had niet veel anders van hem verwacht.


Lees meer over