Meldplichtdiscussie

‘Niet melden van cybercrime is vaak verstandiger' luidt de kop van het FD van 24 oktober 2016 en verwoordt de mening van een advocaat, ex-officier van justitie. De discussie dateert goed beschouwd uit de jaren zestig en zeventig van de vorige eeuw toen de eerste zaken van computermisbruik aan het licht kwamen. Omdat vriend en vijand er destijds van uitging dat deze incidenten — grofweg: vermogensdelict of sabotage — doorgaans niet tot aangifte leidden wegens angst voor reputatieschade, werd de omvang van computercriminaliteit steevast vergeleken met het topje van een ijsberg. Dark numbers. Die situatie is vandaag onveranderd, maar de schaal nam wel exponentieel toe. Digitale criminaliteit in de gekoppelde wereld is helaas gemeengoed geworden.

Een onzuivere discussie

Wie zijn cliënt adviseert geen digitale criminaliteit te melden, heeft deze vrijheid. Op zich is dat geen gammel advies. Het Nederlandse recht kent immers geen algemeen voorschrift om cybercrime — aan wie dan ook — te melden. Bovendien geldt het uitgangspunt dat bedrijven en hun topmanagers risico’s mogen nemen (maar openbaar bestuur en ambtenaren nadrukkelijk niet). De discussie moeten we echter zuiver voeren. Het huidige digitale meldplichtspectrum is nogal breed en breidt bovendien telkens uit. Deze juridische lappendeken brengt een veel groter — geconsolideerd — risico voor iedere digitale organisatie met zich mee dan het gedoe omtrent de nieuwe Wet meldplicht datalekken, waar kennelijk een groot deel van de samenleving aan moet wennen. Toch noemen we data breach notification laws geen novum. Veel Amerikaanse staten begonnen met deze wetgeving aan het begin deze eeuw; California — met Silicon Valley — was nota bene de eerste in 2003. Voor telecombedrijven en ISP’s in de Europese Unie geldt een dergelijke verplichting sinds 25 mei 2011.

Inmiddels zijn er in Nederland allerlei wettelijke meldplichten van kracht of staan voor de deur, vooral in relatie tot ICT-gerelateerde incidenten. Denk aan — een vermoeden van — een lek van persoonsgegevens, een veiligheidsinbreuk of integriteitsverlies. Je kunt zelfs spreken een stevige legislatieve trend in de informatiemaatschappij. Sommigen zijn smal (sectoraal); anderen breed (voor alle organisaties). Daarnaast kenden we al meldplichten voor andersoortige voorvallen, zoals vastgelegd in de Wet financieel toezicht: incidenten die betrekking hebben op integere bedrijfsvoering. Doorredenerend komen we overigens hier — mede — uit op computercriminaliteit in soorten en maten. Adviseert deze advocaat een gehackte bank: ‘mondje dicht’?

Serieus risico

De diverse meldingen (wanneer moet wat door wie worden gemeld) verschillen onderling inhoudelijk. Dat geldt ook voor de te volgen procedure (aan welke toezichthouder en/of andere partij moet er op welke wijze en binnen welke termijn worden gemeld). Hierdoor trekken verwarring en aansprakelijkheid waarschijnlijk gelijk op met de stijging van deze categorie juridische verplichtingen, terwijl de administratiefrechtelijke boetes, die toezichthouders kunnen opleggen, ook nog eens recent fors verhoogd zijn. Over serieuze risico’s gesproken. Zelfs kunnen er digitaal-gerelateerde meldplichten uit overeenkomsten (onbenoemd en benoemd) ontstaan tegenover een contractspartij, alsook uit onrechtmatige daad, jegens een individu of organisatie die schade leidt door een dergelijk incident.

Geen criminaliteit

Nog een punt van onderscheid, waar in het FD aan voorbijgegaan wordt. Een wettelijke meldplicht voor een digitaal incident, inclusief voor een lek van persoonsgegevens, kan te maken hebben met criminaliteit. Dat hoeft echter nadrukkelijk niet het geval te zijn. USB-sticks worden verloren, een officier van justitie zet een PC bij het oud vuil, er gaat iets mis met een software patch, een gemeenteambtenaar stuurt persoonsgegevens naar een verkeerd mailadres, en wat dies meer zij. Vaak ontbreekt opzet en is er geen sprake van cybercrime.

Beperking van schade

De advocaat ter zake hoort van de overheid dat het instrument meldplicht (in relatie tot het lekken van persoonsgegevens) slechts uit oogpunt van algemeen belang zou zijn gekozen. Dat is opvallend. Bij de meeste meldplichten gaat het primair om het beperken van schade en vervolgens om het stimuleren van vertrouwen in een bepaalde sector of, breder, de samenleving. Voor de Wet meldplicht datalekken is dat niet anders. Daar komt nog bij dat ook het algemeen belang een zaak van gewicht is. De informatiesamenleving heeft juist dringend behoefte aan meer vertrouwen van de burger.

Om in te gaan op het aangehaalde voorbeeld in het FD uit de VS — de inbraak uit 2014 die 500 miljoen klanten van Yahoo! raakt. Het staat buiten kijf dat iedere klant graag zo snel mogelijk wil weten of zijn account is gehackt. De klant kan dan zelf bepalen wat de vervolgstappen zijn om zijn schade te beperken, en meer. Het veranderen van wachtwoord, het informeren van derden, veranderen van aanbieder en wellicht het dagen van de aanbieder voor vergoeding van schade. Daarnaast kun je je afvragen of een aandeelhouder tevreden is met het twee jaar onder de pet houden van een grootschalig ICT-gerelateerd incident. Verder dringt de vraag op of in geval van overnamebesprekingen, zoals die bij Yahoo! toevallig gaande zijn, het juridisch advies ‘meldt deze hack maar niet’ rechtmatig is.

VNO-NCW

Ondertussen roert VNO-NCW zich in het debat. Een bedrijf moet zich houden aan wettelijke voorschriften, dus ook aan de Wet meldplicht datalekken. Klare taal. Het devies luidt vervolgens: maar maak dan topprioriteit van aanpakken cybercrime. Daarvoor is, gelet op de staat van de informatiemaatschappij, veel te zeggen. Toch missen ook de verzamelde werkgevers een centraal punt. ‘Maar kijk je vanuit bedrijfsoogpunt naar meldingen en vraag je je af what’s in it for me?, dan kan ik melden: bijzonder weinig,’ aldus een beleidsmedewerker. Politie en justitie zijn niet op de digitale opsporing berekend, weet VNO-NCW. Vervolgens doemen hier dezelfde publicitaire zorgen op, als bij de corporate slachtoffers van de eerste generatie computercriminelen 50 jaar geleden. Wat als een melding uitlekt?

Het kan niet vaak genoeg gezegd worden. De wetgeving omtrent — het lekken van — persoonsgegevens draait uiteindelijke om de betrokkene; het individu (u en ik) wiens persoonsgegevens door een ander worden verwerkt. Niet alleen de privacytoezichthouder, maar tevens de betrokkene moet in voorkomende gevallen worden geïnformeerd dat er bij de verwerking iets behoorlijk fout is gegaan. De redenering is zo gek nog niet. Het niet melden van een meldplichtig datalek kan nauwelijks een verstandig advies betreffen. Wat wel?

Wettelijke borging digitale kwaliteit

Wij kiezen voor een preventief meersporenbeleid. Trendy arbeidsmodernismen, zoals bring-your-own-device en nieuwe manieren van plaats- en tijdonafhankelijk werk, verhogen de juridische risico’s van digitale organisaties; ook ten aanzien van het niet-nakomen van meldplichten. Pak informatietechniek en bedrijfsinformatie juridisch-beleidsmatig integraal aan. Ook de wetgever kan beter zijn best doen. Eén maatregel, die zover bekend nergens op de agenda staat, betreft het opstellen van gedegen kwaliteitsnormen voor digitale technologie — in het bijzonder softwarecode — en de wettelijke borging ervan. Dat werkt als een meersnijdend zwaard. Toepassing leidt tot minder uitval van informatiesystemen en netwerken, minder digitale criminaliteit en creëert tegelijkertijd meer vertrouwen. Een aantrekkelijke propositie voor iedere samenleving die digitaal weerbaar wil worden.