Regering pakt datalekken aan
Bedrijven worden verplicht om datalekken aan te geven bij een centraal meldpunt. Dat heeft de ministerraad beslist. Ook de Privacycommissie wordt hervormd en krijgt extra bevoegdheden.
Het nieuwe Centraal Meldpunt voor Datalekken moet ervoor zorgen dat bedrijven, organisaties en overheidsinstanties het hacken van persoonsgegevens melden zodat de juiste instanties (zoals het Centrum voor Cybersecurity of de Federal Computer Crime Unit van de federale politie) sneller gecoördineerd aan het werk kunnen. Vanaf mei volgend jaar worden alle databeheerders zelfs overal in de EU verplicht om dat te doen binnen de 72 uur, als het lek een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen.
Staatssecretaris Philippe De Backer (Open Vld) geeft als voorbeeld de recente hacking van patiëntengegevens bij de Digitale Wachtkamer. Dat platform voor huisartsboekingen kreeg kritiek omdat het de getroffen consumenten te laat inlichtte, en zo een aanbeveling van de Privacycommissie in de wind sloeg. De Backer wijst erop dat bedrijven en organisaties de meldingsplicht in hun eigen belang ernstig moeten nemen. “Het Meldpunt wordt een 'one stop shop' die hen meer rechtszekerheid zal bieden.”
Zware sancties
De ministerraad keurde tegelijk de oprichting van de nieuwe Gegevensbeschermingsautoriteit goed. Zij zal de hervormde Privacycommissie vervangen en krijgt, in navolging van de EU-richtlijn, uitgebreidere onderzoeksbevoegdheden om bij databeheerders preventieve audits en screenings uit te voeren.
“Als stok achter de deur krijgen ze vanaf mei volgend jaar ook ruime sanctiebevoegdheden als bedrijven bewust of door slordige beveiliging foutief omspringen met data”, zegt staatssecretaris De Backer. “De sancties verlopen volgens een escalatiemechanisme, dat begint bij de bemiddelende vraag om fouten recht te zetten, maar ook kan leiden tot de verplichte stopzetting van dataverwerking. De grootste financiële sanctie, bijvoorbeeld bij misbruik van data, zal kunnen oplopen tot 4 procent van de wereldwijde jaarlijkse omzet van een bedrijf.”
'De grootste financiële sanctie zal kunnen oplopen tot 4 procent van de wereldwijde jaarlijkse omzet van een bedrijf'
Voor multinationale databedrijven zouden zelfs kleine boetes al snel kunnen oplopen tot vele honderden miljoenen euro. Zo haalde een bedrijf als Facebook in het eerste kwartaal van dit jaar nog een omzet van net geen 7 miljard euro. Multinationals kunnen wel alleen gecontroleerd en beboet worden door de toezichthouder in de EU-lidstaat waar ze hun hoofdzetel hebben.
Lees ook het Standpunt van Maarten Rabaey: Onze privacy verdient meer investeringen
Financiële uitdaging
De hervorming van de huidige Privacycommissie wordt wel een financiële uitdaging. De Backer moet op vraag van de regering budgetneutraal werken, en moet door afslanking en professionalisering van het interne management geld vrijmaken om forensische IT-specialisten aan te werven.
De staatssecretaris hoopt dat de huidige middelen, geplafonneerd op 7 miljoen euro, volstaan, maar huidig Privacycommissie-voorzitter Willem Debeuckelaere gelooft daar niet in. “Dit is onzin. De nieuwe Gegevensbeschermingsautoriteit krijgt door de nieuwe Europese regels de helft meer taken”, zegt hij. “Het is wishful thinking dat je dit zonder bijkomende middelen kunt bolwerken.”
'Het is wishful thinking dat je deze hervorming zonder bijkomende middelen kunt bolwerken'
Debeuckelaere juicht de hervorming wel toe. "Ze komt niets te vroeg." De onafhankelijke magistraat benadrukt ook dat de nieuwe Gegevensbeschermingsautoriteit een onafhankelijke instelling blijft die alleen het parlement verantwoording verschuldigd is. “Daarom hoop ik dat de parlementsleden er grondig op toezien dat ook onze opvolger autonoom blijft werken. Het mag geen politiek benoemingscircus worden.”