De Tweede Kamer (in Nederland) heeft unaniem ingestemd met een motie die de regering oproept onderzoek te doen naar een wettelijke nazorgplicht bij grote datalekken. Daarmee lijkt een belangrijke stap gezet richting betere bescherming van burgers die slachtoffer worden van cyberincidenten.
De motie werd ingediend door Barbara Kathmann (Progressief Nederland), samen met Laurens Dassen (Volt). Volgens de indieners schiet de huidige aanpak tekort zodra persoonsgegevens op grote schaal op straat belanden. Terwijl organisaties en toezichthouders zich richten op het dichten van lekken en het onderzoeken van oorzaken, blijven de gedupeerden vaak met praktische vragen en onzekerheden achter.
Nazorgplicht
Kathmann benadrukte tijdens een overleg dat burgers na een datalek vaak niet weten hoe ze zichzelf moeten beschermen. “Welke berichten kan ik nog vertrouwen? Moet ik mijn gegevens aanpassen? Wat kan ik doen om fraude te voorkomen?” zijn vragen die volgens haar veelvuldig binnenkomen. Juist op dat moment, stelt zij, blijkt hoe groot de impact van digitale incidenten op individuen is.
De roep om betere nazorg komt niet uit het niets. Nederland werd de afgelopen jaren meerdere keren geconfronteerd met omvangrijke datalekken die grote groepen mensen troffen. Zo zorgde het datalek bij Odido voor brede maatschappelijke onrust, nadat gevoelige klantgegevens in verkeerde handen terechtkwamen. Daarnaast was er het lek bij Clinical Diagnostics, waarbij eveneens privacygevoelige informatie op straat belandde en duizenden mensen mogelijk risico liepen op misbruik van hun gegevens. Deze incidenten maakten duidelijk dat de impact van datalekken verder reikt dan alleen de getroffen organisaties.
Datalek
Op dit moment bestaat er in Nederland geen specifiek wettelijk kader dat voorschrijft hoe slachtoffers na een groot datalek ondersteund moeten worden. Organisaties zijn wel verplicht om datalekken te melden en betrokkenen te informeren, maar concrete richtlijnen voor nazorg ontbreken grotendeels.
Met de aangenomen motie wil de Kamer daar verandering in brengen. Het voorgestelde onderzoek moet in kaart brengen hoe een wettelijke nazorgplicht eruit zou kunnen zien, waarbij zowel de rechten van slachtoffers als de verantwoordelijkheden van organisaties worden vastgelegd. Denk daarbij aan duidelijke communicatie, praktische ondersteuning en mogelijk aanvullende maatregelen om identiteitsfraude te voorkomen.
Betalen aan criminelen of failliet: het duivelse dilemma
Onderzoek
De regering heeft tot het derde kwartaal van dit jaar om het onderzoek uit te voeren en de resultaten met de Kamer te delen. Als het aan de Kamer ligt, is dit een eerste stap naar een structurele aanpak waarbij slachtoffers van datalekken niet langer aan hun lot worden overgelaten, maar actief worden geholpen in de nasleep van digitale incidenten.