Dit blijkt uit een wetsvoorstel dat op 24 november 2014 aan de Tweede Kamer is gezonden. En die boete is bepaald niet symbolisch: tot ruim 800.000 euro of zelfs nog hoger.

Gele kaarten

Voor het CBP gaat het voorstel nog niet ver genoeg. Volgens Jacob Kohnstamm, voorzitter van het CBP, zijn er namelijk wel drie of vier gele kaarten nodig alvorens een boete kan worden uitgedeeld. Hij is dan ook van mening dat het CBP door het wetsvoorstel niet snel en effectief kan handelen. Ook de Raad van State laat zich kritisch uit over de uitvoering. Zij adviseert de staatssecretaris van Veiligheid een Justitie om in te zetten op strafrechtelijke vervolging bij een overtreding.

De manier waarop de boetes kunnen worden uitgedeeld, zijn blijkbaar nog voer voor discussie, maar duidelijk is wel dat het CBP ruimere bevoegdheden krijgt. Op de lange lijst van overtredingen die beboet kunnen worden, staan ook het niet of onvoldoende nemen van beveiligingsmaatregelen en het niet melden van een datalek.

Europa

Blijkbaar wordt de noodzaak tot aanpassing van wetgeving op dit gebied niet alleen in Nederland gevoeld. In Europa is een nieuwe wet op dit gebied in de maak, al loopt die keer op keer vertraging op; ik zag laatst 2017 als verwachte lanceringsdatum voorbijkomen. En president Obama heeft onlangs een plan gelanceerd voor wetgeving – de Personal Data Notification and Protection Act – die bedrijven verplicht binnen dertig dagen hun klanten op de hoogte te stellen van cyberaanvallen en datalekken waarbij sprake is van aantasting of diefstal van persoonlijke gegevens.

Over de strengere wetgeving in Nederland heb ik al eerder geschreven, maar nu zijn er ook concrete boetebedragen bekendgemaakt. Of we daar blij mee moeten zijn, hangt af van het perspectief. Als de dreiging van reputatieschade niet genoeg is, dan is het vooruitzicht op een stevige boete ongetwijfeld een stimulans om de beveiliging te verbeteren. En ook een datalek onder de pet houden kan een dure grap worden.

Strenger toezicht noodzakelijk

Zorginstellingen zullen nu gedwongen worden om een (flink) deel van hun schaarse middelen (alsnog) aan security uit te geven. In een sector waar tot op de dag van vandaag nog computers met Windows XP zijn te vinden, zal dat een enorme impact hebben. Menig instelling komt voor een lastig dilemma te staan: óf een paar ton uitgeven aan security óf het risico lopen op een boete van nog meer tonnen.

Zoals ik al eerder op deze plek heb betoogd, vind ik dat de beveiliging in de gezondheidszorg beslist verbeterd moet worden. En ik denk dat het een goede zaak is dat het toezicht strenger wordt. Of boetes verhoogd moeten worden en in welke mate, daar heb ik niet zo’n mening over. Er gaat al een behoorlijke dreiging uit van de schandpaaltactiek die het CBP recentelijk tentoonspreidt. De vraag is of het effect van die tactiek – potentiële reputatieschade – doordringt tot de raad van bestuur en of zij deze tactiek kan gebruiken om investeringen in beveiliging mee af te wegen. Ik denk eerlijk gezegd dat de kosten van reputatieschade nog te abstract zijn, en dat zoiets als een glasheldere boete van bedrag X beter kan werken.

Stasi-politiek

Begrijp mij niet verkeerd: het moet niet zo zijn dat het CBP Stasi-politiek gaat toepassen en dat iedere vorm van flexibiliteit voor wat betreft keuzes rond de beveiliging van persoonlijke gegevens verdwijnt. De boete moet wat mij betreft puur een ‘stok achter de deur’ zijn om het bestuur ten aanzien van informatiebeveiliging goede afwegingen te laten maken: we hebben een risico en dat kost mogelijk X. De maatregel om het risico weg te nemen, kost Y. Akkoord?