Cookies & meldplicht datalekken: draaft Nederland te ver door?
Column – Er wordt de laatste tijd een hoop gescholden over de cookiewet en wat voor een vervuiling dat geeft op het internet. En terecht: iedereen klikt braaf de meldingen van de cookiewalls weg zonder ze ooit te lezen. De meldingen zijn zoiets als de bijsluiters van medicijnen; je gooit ze ongelezen in de prullenbak als je een pilletje wilt slikken. Het zal juridisch allemaal kloppen, maar de effectiviteit is natuurlijk ver te zoeken. Niemand leest een cookiemelding, het kost alleen maar extra klikken, energie en irritatie.
Cookies in Europa
Hoe hebben andere landen dat gedaan? Als ik zo door Europa heen klik, lijkt het erop dat Nederland weer eens het braafste jongetje in de klas is geweest. Wij hebben de meeste cookiewalls per hoofd van de bevolking en als ik dit zo inschat van een afstandje, geen ander land heeft de regels zo strikt geïnterpreteerd als Nederland.
Nieuwjaars-gedrocht
Maar houd je vast; er is nog een groter gedrocht in wording: meldplicht datalekken. De handhaving is inmiddels begonnen met 5500 meldingen dit jaar.
Voor wie nog niet weet wat dit inhoudt: vanaf 1 januari 2016 is het wettelijk verplicht om datalekken te melden. Zowel inbraak, als kwijtraken, als diefstal of onbevoegd gebruik van persoonsgegevens geldt als een datalek. Wie zich niet aan de wet houdt, loopt kans op boetes die kunnen oplopen tot € 820.000,- of 10 procent van de jaaromzet per overtreding.
Om weer het braafste jongetje van de klas te worden, hebben we het College Bescherming Persoonsgegevens omgedoopt tot Autoriteit Persoonsgegevens en een Meester in de Rechten er de baas van gemaakt (Aleid Wolfsen). Even voor de duidelijkheid: dat is dezelfde club die de cookiewet bewaakt, dat belooft wat.
Je krijgt straf als:
- je geen datalek meldt terwijl dat wel moet;
- je beveiliging niet op orde is;
- je persoonsgegevens verwerkt zonder toestemming;
- je persoonsgegevens exporteert naar landen buiten de EU zonder toestemming.
De verwachting
Hier op kantoor was de meldplicht reden om weer eens kritisch naar onze beveiliging te kijken. In zoverre is de wet dus wel effectief, maar als dit daadwerkelijk gehandhaafd gaat worden en de boetes echt uitgedeeld gaan worden, voorspel ik een ambtenaren-gedrocht met hoeveelheden procedures en bezwaarschriften die zijn gelijke niet kent. De cookiewet was hierbij vergeleken een lachertje en de hoeveelheid Snowdens en Assanges die dan op de vlucht slaan, zijn straks niet te overzien.
Zoals het nu georganiseerd is, wordt het een nieuw soort cookiewet. Een hoop gedoe, er gebeurt niets en de veiligheid neemt niet toe. Kan dit niet anders?
Bedrijven die gecertificeerd zijn en vervolgens wel in overtreding zijn mogen wat mij betreft een boete krijgen, maar misschien iets minder exorbitant als het om kleinere bedrijven gaat?
Laat de klant beslissen
Ik heb een beter idee: kan een bedrijf zich niet vrijwillig laten doorlichten (of op zijn minst committeren) en dan een certificaat krijgen dat zij hun beveiliging op orde hebben? En voor mijn part zelfs op onderdelen? Het is dan aan de klanten van dat bedrijf of ze daar wel of niet hun persoonsgegevens aan toevertrouwen. Bedrijven die gecertificeerd zijn en vervolgens wel in overtreding zijn, mogen wat mij betreft een boete krijgen, maar misschien iets minder exorbitant als het om kleinere bedrijven gaat?
En nu we het er toch over hebben: de bijsluiters van die medicijnen staan al lang online. Kunnen we die opgevouwen documentjes in het doosje niet weglaten? Als je het per se wil lezen kun je het opzoeken. Zonde van al dat papier wat nu ongelezen in de prullenbak verdwijnt.