Consultatie inzake praktische regels datalekken
Digitale agenda: de Commissie houdt een raadpleging over praktische regels voor het melden van inbreuken op persoonsgegevens.
Consultatie door de Europese Commissie in verband met datalekken. Vicevoorzitter van de Commissie voor de Digitale Agenda Neelie Kroes zei hierover: "De verplichting om beveiligingsinbreuken te melden is een belangrijk onderdeel van de nieuwe EU-telecomregels. Wij moeten echter in heel de EU consequent zijn zodat bedrijven niet te maken krijgen met een ingewikkelde reeks van onderling afwijkende nationale regelingen. Ik wil ervoor zorgen dat overal gelijke voorwaarden gelden, die de consumenten zekerheid geven en de ondernemingen praktische oplossingen bieden."
Het persbericht:
Digitale agenda: de Commissie houdt een raadpleging over praktische regels voor het melden van inbreuken op persoonsgegevens
Brussel, 14 juli 2011 – De Europese Commissie vraagt telecomexploitanten, aanbieders van internetdiensten, lidstaten, nationale toezichthouders voor gegevensbescherming, consumentenorganisaties en andere belanghebbenden of aanvullende praktische regels nodig zijn om ervoor te zorgen dat inbreuken op de beveiliging van persoonsgegevens overal in de EU consequent worden gemeld. Volgens de herziene ePrivacy-richtlijn (2009/136/EG), die op 25 mei 2011 in werking is getreden als onderdeel van een pakket nieuwe Europese telecomregels, zijn exploitanten en internetaanbieders verplicht de nationale autoriteiten en hun klanten onverwijld op de hoogte te brengen van inbreuken op de beveiliging van gegevens die zij bezitten (zie IP/11/622 en MEMO/11/320). De Commissie wil op basis van de bestaande praktijk en de aanvankelijke ervaring met de nieuwe telecomregels meningen en ideeën verzamelen en kan dan aanvullende praktische regels voorstellen om te verduidelijken wanneer deze inbreuken moeten worden gemeld en welke procedures en formaten daarbij moeten worden gebruikt. Bijdragen voor de raadpleging worden ingewacht tot 9 september 2011.
Vicevoorzitter van de Commissie voor de Digitale Agenda Neelie Kroes zei hierover: "De verplichting om beveiligingsinbreuken te melden is een belangrijk onderdeel van de nieuwe EU-telecomregels. Wij moeten echter in heel de EU consequent zijn zodat bedrijven niet te maken krijgen met een ingewikkelde reeks van onderling afwijkende nationale regelingen. Ik wil ervoor zorgen dat overal gelijke voorwaarden gelden, die de consumenten zekerheid geven en de ondernemingen praktische oplossingen bieden."
In de raadpleging wordt gevraagd naar input over de volgende specifieke onderwerpen:
Omstandigheden: de manier waarop organisaties de nieuwe verplichting van de telecomregels naleven of hoe zij van plan zijn dit te doen; het soort inbreuken dat moet leiden tot toepassing van de verplichte kennisgeving aan de abonnee of de persoon en voorbeelden van beschermingsmaatregelen die gegevens onbegrijpelijk kunnen maken
Procedures: de deadline voor de kennisgeving, de wijze van kennisgeving en de procedure voor een individueel geval
Formaten: de inhoud van de kennisgeving aan de nationale autoriteit en aan de persoon, bestaande standaardformaten en de haalbaarheid van een Europees standaardformaat.
Daarnaast wil de Commissie meer vernemen over grensoverschrijdende inbreuken en de naleving van andere Europese verplichtingen met betrekking tot beveiligingsinbreuken.
Achtergrond
Telecomexploitanten en internetdienstenaanbieders bezitten een reeks gegevens over hun klanten, zoals naam, adres en bankgegevens, alsook informatie over telefoonnummers en bezochte websites. Volgens de ePrivacy-richtlijn zijn telecomexploitanten en internetdienstenaanbieders verplicht deze gegevens vertrouwelijk en veilig te bewaren. Het gebeurt echter dat gegevens gestolen worden of dat personen op ongeoorloofde wijze toegang daartoe verkrijgen. Dergelijke gevallen zijn bekend als 'inbreuken op persoonsgegevens'. Wanneer een inbreuk op persoonsgegevens plaatsvindt, vereist de herziene ePrivacy-richtlijn (2009/136/EC) dat de aanbieder dit meldt aan een specifieke nationale autoriteit, gewoonlijk de nationale autoriteit voor gegevensbescherming of de telecomtoezichthouder. Zo moet de aanbieder de betrokken persoon rechtstreeks op de hoogte brengen.
Om te zorgen voor consistente uitvoering van de regels inzake inbreuken op persoonsgegevens in alle lidstaten kan de Commissie volgens de ePrivacy-richtlijn 'technische uitvoeringsmaatregelen' nemen – dit zijn praktische regels ter aanvulling van de bestaande wetgeving – over de omstandigheden, het formaat en de procedures voor de kennisgeving.
Volgende stappen
Als de Commissie op basis van de ontvangen bijdragen besluit technische uitvoeringsmaatregelen vast te stellen, moet zij het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA), de Groep gegevensbescherming artikel 29 en de Europese Toezichthouder voor gegevensbescherming (EDPS) raadplegen. Toezichthouders voor elektronische communicatie worden ook geraadpleegd omdat zij in sommige lidstaten de bevoegde autoriteit voor inbreuken op persoonsgegevens zijn.
In dat geval nemen de technische uitvoeringsmaatregelen de vorm aan van een besluit van de Commissie dat in de 'regelgevende comitologieprocedure' wordt vastgesteld. Volgens deze procedure moeten lidstaten de voorstellen van de Commissie eerst goedkeuren in het comité voor communicatie (COCOM). Het Europees Parlement heeft daarna drie maanden om de maatregelen te toetsen voordat zij in werking treden.
Deze raadpleging staat los van de stappen die ondernomen worden (zie IP/10/1462 en MEMO/10/542) om de algemene gegevensbeschermingsrichtlijn (95/46/EG) te herzien.
Meer informatie
Het document voor de raadpleging is beschikbaar op:
Website van de Digitale agenda: https://ec.europa.eu/digital-agenda
Website van Neelie Kroes: https://ec.europa.eu/commission_2010-2014/kroes/