Gemeente Delft. Bijgaand sturen wij U ter kennisneming de nota lmplementatie Wet Meldplicht Datalekken.

Transcriptie

1 Gemeente Delft Retouradres : Aan de raadscommissie voor Rekening en Audit VERZONDEN 17 DEC Datum Ons kenmerk Uw brief van Onderwerp nota Implementatie Meldplicht Datalekken Uw kenmerk Bijlage Geachte leden van de commissie, Bijgaand sturen wij U ter kennisneming de nota lmplementatie Wet Meldplicht Datalekken. Hoogachtend, het college van burgemeester en wethouders van Delft,, burgemeester F. Forster, MSc Lb., secretaris drs. W. Andriessen Ls.

2 Doorkiesnummers: Aan College van Burgemeester en Wethouders Afschrift aan raadscommissie voor Rekening & Audit Nota Datum Ons kenmerk Opsteller J.Frederici / H. Koenen Bijlage Onderwerp Implementatie wet Meldplicht Datalekken 1. Aanleiding / Inleiding Per 1 januari 2016 treedt de Wet Meldplicht Datalekken (hierna: 'de wet' ) in werking. In deze wet wordt een meldplicht geïntroduceerd in de Wet bescherming persoonsgegevens (hierna: Wbp) voor verantwoordelijken voor de verwerking van persoonsgegevens in geval van gebleken doorbrekingen van de getroffen maatregelen ter beveiliging van persoonsgegevens. De verantwoordelijke moet op grond van artikel 34a (bijlage 1) van de Wbp bij een inbreuk die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel nadelige gevolgen heeft voor de bescherming van persoonsgegevens, een melding doen bij de toezichthouder, het College bescherming persoons-gegevens (hierna: Cbp). De meldplicht rust op alle verantwoordelijken voor de verwerking, zowel in de private als publieke sector. Het nalaten aan deze verplichtingen te voldoen kan worden gesanctioneerd met een bestuurlijke boete, op te leggen door het Cbp. Het doel van de meldplicht is het voorkomen van datalekken ten gevolge van doorbreking van beveiligingsmaatregelen en als deze zich toch voordoen, de gevolgen ervan voor de betrokkenen zoveel mogelijk te beperken. De invoering van de wet heeft nogal wat consequenties. In deze notitie wordt hierop ingegaan. Tevens zal een voorstel worden gedaan hoe met de implementatie van de wet kan worden omgegaan.

3 2. Wanneer en op welke wijze is de wet van toepassing? Enkele begrippen. Zoals aangegeven betreft het hier een wijziging van de Wbp. De wetgever loopt hiermee vooruit op de komst van de (Europese) Algemene Verordening Gegevensbescherming, die waarschijnlijk per 1 januari 2017 zal ingaan, waarin een meldplicht voor datalekken ook zal zijn opgenomen, en die in de plaats zal komen van de (nationale) Wbp. Het Cbp heeft richtsnoeren opgesteld als hulpmiddel voor bedrijven, overheden en andere organisaties om te bepalen of een concreet datalek onder de meldplicht valt. De consultatiefase is inmiddels verstreken, en het Cbp zal binnenkort met een definitieve versie komen. Uit de richtsnoeren, en de wetsgeschiedenis, kan een stappenplan worden afgeleid. 2.1 Is de meldplicht datalekken van toepassing op de gemeente? Artikel 34a lid 1 Wbp, zoals dat per 1 januari 2016 zal gelden, luidt als volgt: "De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.' Hieruit kan worden afgeleid dat ten eerste sprake moet zijn van verwerking van persoonsgegevens. Een persoonsgegeven is elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel zonder onevenredige inspanning naar deze persoon te herleiden is. Vastgesteld kan worden dat - binnen de gemeente - op grote schaal sprake is van verwerken van persoonsgegevens. Immers, 'verwerking' kan worden omschreven als elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens' (artikel 1 onderdeel b Wbp). Omdat het een heel ruim begrip is zal er al snel sprake zijn van verwerken. 2/12

4 Het begrip 'verantwoordelijke ' valt te omschrijven als 'degene die alleen of tezamen met anderen het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt". In de meeste gevallen zal het college van burgemeester en wethouders verantwoordelijke zijn. Dit omdat het college in de meeste gevallen het bij wet aangewezen orgaan is dat wetten als de Participatiewet moet uitvoeren Andere mogelijkheden zijn de Burgemeester ( als bestuursorgaan), en de Raad. Conclusie: de gemeente verwerkt zeer veel persoonsgegevens, de wet zal derhalve in zeer veel gevallen van toepassing zijn. 2.2.Wat is een datalek? Een datalek is 'een inbreuk op de beveiliging, bedoeld in artikel 13'. De definitie volgt uit het eerder vermelde artikel 34a Wbp (nieuw). Artikel 13 Wbp verplicht de verantwoordelijke passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. De vraag of en in welke mate de gegevens beveiligd waren speelt overigens geen rol bij het bepalen of er sprake is van een datalek. De verantwoordelijke is immers al verplicht een passende beveiliging te hanteren op grond van artikel 13 Wbp. Het gaat er om dat de beveiliging doorbroken is, en redelijkerwijs niet kan worden uitgesloten dat dit heeft geleid tot verlies van gegevens of enige vorm van onrechtmatige verwerking. Een paar voorbeelden van een (mogelijke) datalek: een verloren USB-stick een gestolen laptop Het Cbp neemt aan dat indien een laptop met persoonsgegevens gestolen wordt, er sprake is van een datalek. Onrechtmatige verwerking van persoonsgegevens als gevolg van de diefstal wordt dan verondersteld. Of het datalek ook gemeld moet worden bij het Cbp is een andere vraag, zie hiervoor onder par een brand in een datacentrum (per ongeluk) wissen van een database. Bij de voorbeelden over de brand en de database moet worden bedacht dat er daarbij slechts sprake kan zijn van een datalek wanneer als gevolg van de brand en het wissen ook daadwerkelijk gegevens 3/12

5 verloren raken. Wanneer er een goede back-up is, zijn de gegevens uiteindelijk niet verloren geraakt, en is er daarom geen sprake van een datalek. doorgeven van wachtwoorden aan derden, waardoor dezen toegang hebben tot klantgegevens Bij dit voorbeeld geldt dat er in ieder geval sprake is van een beveiligingsincident, maar niet per se van een datalek. Is het beveiligingsincident snel opgemerkt, zijn de wachtwoorden aangepast, en blijkt uit het logbestand dat de derden op dat moment nog niet in de systemen hebben gekeken, dan is er wel sprake van een beveiligingsincident, maar niet van een datalek. Bij het opruimen van de kasten in het kader van de verhuizing naar HNK, worden documenten weggegooid in de daarvoor bestemde papierbakken. De inhoud hiervan wordt normaliter vernietigd. De bakken worden aan de straat gezet om opgehaald te worden. Een bak is niet goed afgesloten, vertrouwelijke documenten komen zo op straat te liggen. 2.3 Wanneer moet een datalek gemeld worden aan het Cbp? Een datalek hoeft slechts dan gemeld te worden aan het Cbp wanneer dit leidt tot een aanzienlijke kans op ernstige nadelige gevolgen dan wel nadelige gevolgen heeft voor de bescherming van de persoonsgegevens (zie weer artikel 34a lid 1 Wbp). Om te kunnen bepalen of er een meldplicht is moet naar de volgende zaken gekeken worden: (a) Gaat het om persoonsgegevens van gevoelige aard? (b) Leiden de aard en de omvang van de inbreuk tot (een aanzienlijke kans op) ernstige nadelige gevolgen? ad (a) De wetsgeschiedenis vermeldt dat het gaat om: Bijzondere persoonsgegevens in de zin van artikel 16 Wbp (godsdienst of levensovertuiging, sexuele geaardheid, ras, politieke gezindheid, gezondheid, lidmaatschap vakvereniging, strafrechtelijke gegevens). Gegevens betreffende de financiële of economische situatie van betrokken ( by schulden) Andere potentieel stigmatiserende gegevens ( by gokverslaving) 4/12

6 Gebruikersnamen, wachtwoorden, en andere inloggegevens Gegevens die onder een geheimhoudingsplicht of medisch beroepsgeheim vallen ad (b) De Memorie van Toelichting bij de wet geeft aan dat aard en omvang van de verwerking bepalend zijn voor het antwoord op de vraag of er sprake is van de kans op ernstige nadelige gevolgen. Bij instellingen die zeer veel persoonsgegevens verwerken (bijvoorbeeld de gemeente, de SVB) is de kans dat datalek zeer grote gevolgen heeft veel groter: het gaat dan om zeer veel persoonsgegevens per persoon, zodat het nadelige gevolg groter zal zijn dan bij instellingen die minder persoonsgegevens verwerken. Een voorbeeld: het hacken van de ledenadministratie van een sportvereniging is weliswaar erg vervelend voor de betrokkenen, maar het zal niet snel leiden tot een verplichte melding aan het Cbp. Bij het hacken van bestanden bij het UWV zal dat wel het geval zijn. Daarbij komt ook nog eens dat hacken en vervolgens onbevoegd wijzigen van persoonsgegevens bij het UWV ook van invloed is op de gegevens in de rest van de keten. De wetsgeschiedenis wijst expliciet op de positie van kwetsbare groepen: indien zij geconfronteerd worden met misbruik van gegevens als gevolg van datalekken, zullen zij daar wellicht moeilijk mee om kunnen gaan. Te denken valt aan verstandelijk gehandicapten (zullen bijvoorbeeld eerder ingaan op phishing). Omdat de gemeente de gegevens van veel kwetsbare personen verwerkt, valt aan te nemen dat er snel sprake kan zijn van een kans op ernstige nadelige gevolgen. 3.Melden van een datalek Een datalek moet 'onverwijld' (zie artikel 34a lid 1 Wbp) gemeld worden aan het Cbp. Het Cbp vult dit als volgt in: vanaf het moment van het ontdekken van het datalek moet binnen twee werkdagen melding gedaan worden bij het Cbp, door middel van een vastgesteld webfornnulier. Artikel 34a lid 2 Wbp bevat de verplichting voor de gemeente om ook de betrokkene in kennis te stellen van een datalek wanneer de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. 5/12

7 Het Cbp vult dit als volgt in: (a) Deze meldingsplicht geldt niet wanneer de gegevens adequaat versleuteld waren op het moment van de inbreuk (zie artikel 34a lid 6 Wbp). (b) Tenzij ze alsnog zijn blootgesteld aan vernietiging of aantasting, dan geldt de meldplicht weer wel. (c) Maar de meldingsplicht geldt ook niet wanneer er geen versleuteling heeft plaatsgevonden, maar de inbreuk ook geen ongunstige gevolgen voor de persoonlijke levenssfeer zal hebben. Ad b. Ook al zijn de gegevens adequaat versleuteld, en lijkt het zo te zijn dat ze nutteloos zijn voor een onbevoegde, als er geen back-up van de gegevens is, is er toch sprake van verlies van de gegevens, en dus is er een meldplicht. Ad c. Bij adequate versleuteling van de gegevens zal al snel de conclusie getrokken kunnen worden dat er geen aanleiding is om een melding te doen aan de betrokkene. Maar ook indien de gegevens niet versleuteld waren, is niet elke datalek meldplichtig aan betrokkene. Het Cbp geeft aan dat indien er gevoelige gegevens zijn gelekt, een melding aan betrokkene (naast die aan het Cbp zelf) noodzakelijk is. In andere gevallen, er zijn by wachtwoorden van personen buitgemaakt, lijkt het ook noodzakelijk om betrokkenen te informeren zodat ze nieuwe wachtwoorden kunnen aanmaken. Maar het voorbeeld van de ledenadministratie van de sportvereniging die gehackt wordt, is zo'n geval die niet meldplichtig lijkt. Het Cbp kan overigens, indien het van mening is dat melding aan betrokkene noodzakelijk is, maar dat nog niet is gebeurd, de gemeente opdragen alsnog de melding te doen (artikel 34a lid 7 Wbp). De melding aan een betrokkene dient ook 'onverwijld' te gebeuren. Het Cbp is hierin overigens minder strikt over de termijn dan bij de melding aan het Cbp zelf (die is immers twee werkdagen vanaf het bekend raken met het incident). Bij de afweging of een datalek aan een betrokkene moet worden gemeld dient ook te worden betrokken de algemene verplichting in het aansprakelijkheidsrecht om schade te beperken. Het melden aan de betrokkene, en het aangeven hoe de schade zoveel mogelijk beperkt kan worden (bijvoorbeeld een advies om wachtwoorden te wijzigen) is hiervan een uitvloeisel. Doet de betrokkene hier vervolgens niets mee, dan kan dat de aansprakelijkheid van de gemeente hierdoor beperkt worden, er is dan in feite sprake van `eigen schuld' van de betrokkene. 6/12

8 4. Overige zaken van belang Er moet een overzicht worden bijgehouden van alle datalekken die onder de meldplicht vallen. Aanbevolen wordt om overzichten drie jaar te bewaren. Het Cbp heeft als toezichthouder de bevoegdheid om een last onder bestuursdwang op te leggen indien de wettelijke verplichtingen niet worden nagekomen. Verder kan het Cbp een bestuurlijke boete opleggen bij overtreding van de bepaalde artikelen uit de Wbp, zo ook artikel 34a Wbp, het niet nakomen van de meldplicht. Deze boete bedraagt ten hoogste C ,-. Voordat het Cbp een boete kan opleggen, moet het eerst een bindende aanwijzing gegeven hebben. 5.Wat kan de betrokkene doen? Een burger kan schade ondervinden als gevolg van datalekken. Daartoe kan de burger de verantwoordelijke aansprakelijk stellen (artikel 49 en 50 Wbp). Zou de verantwoordelijke een bewerker hebben ingeschakeld, en is de datalek ontstaan door toedoen van de bewerker, dan kan de verantwoordelijke de schade verhalen op de bewerker. Ook kan een burger het Cbp verzoeken een onderzoek in te stellen indien hij van mening is dat de verantwoordelijke in strijd handelt met de wet (artikel 60 Wbp). Het Cbp kan hierop actie ondernemen, maar ook ambtshalve een onderzoek instellen ( bijvoorbeeld op basis van signalen van derden). Daarnaast zijn er de gebruikelijke acties die de burger kan instellen: de verantwoordelijke vragen of deze persoonsgegevens verwerkt, de verantwoordelijke verzoeken deze gegevens te verbeteren, aan te vullen, te verwijderen, of af te schermen. De gemeente als verantwoordelijke dient op deze verzoeken een besluit te nemen. Bij datalekken gaat het echter om de gevolgen van verlies en onrechtmatige verwerking als gevolg van een beveiligingsinbreuk, en niet zozeer om de vraag of de verantwoordelijke de gegevens in de eerste plaats wel mocht verwerken. Vandaar dat de gebruikelijk acties die de Wbp biedt in het geval van datalekken niet effectief zijn. 7/12

9 6. Implementatie Uit het voorafgaande mag blijken dat de wet een behoorlijke impact heeft op de organisatie van de gemeente Delft, en dat het niet voldoen aan de verplichtingen die de wet stelt grote (financiële en publicitaire) consequenties kan hebben. Daarom dient aandacht te worden besteed aan een goede implementatie van de wet. Verantwoordelijkheden De implementatie van de wet Meldplicht Datalekken wordt vooralsnog ondergebracht bij het informatiebeveiligingsbeleid en bij de daarvoor verantwoordelijke informatiebeveiligingsfunctionaris (security officer, afdeling Control). Dit in nauwe samenwerking met de juridische experts van ID, aangezien zij contactpersoon zijn voor de uitvoering van de Wbp en bij uitstek deskundig zijn op dit terrein. Onderbrengen bij informatiebeveiligingsbeleid heeft tot gevolg dat de afspraken rondom governance die in deze beleidsnota zijn geformuleerd, ook voor de datalekken worden gevolgd. Het opdrachtgeverschap voor de implementatie ligt bij de directeur ID. De wethouder voor Informatie is de verantwoordelijke bestuurder. Voor de correcte uitvoering van de wet Meldplicht Datalekken is het GMT, met het daaronder ressorterende lijnmanagement, ambtelijk verantwoordelijk en de wethouder voor Informatie bestuurlijk verantwoordelijk. Rapportage over datalekken is onderdeel van de rapportage over informatiebeveiligingsbeleid. Acties voor implementatie: Voorlichting Het herkennen van een (mogelijke) datalek in een zo vroeg mogelijk stadium is van groot belang. Daartoe zullen de medewerkers moeten worden ingelicht. Omdat bijna alle medewerkers van Delft regelmatig met persoonsgegevens werken zal de voorlichting aan een brede groep moeten worden gegeven. De medewerkers zullen moeten worden geïnstrueerd om de gevaren voor een datalek te herkennen. In december 2015 wordt een algemeen bericht verspreid. In de eerste helft van 2016 wordt intensievere voorlichting gegeven, bij voorkeur op de werkvloer Procedure Het inrichten van een procedure opdat binnen de korte tijd die beschikbaar is ( twee werkdagen vanaf het ontdekken van het 8/12

10 datalek) het oordeel kan plaats vinden of er sprake is van een datalek dat gemeld moet worden. Nu er al een procedure is vastgelegd voor het melden van beveiligingsincidenten lijkt het raadzaam om hierbij aan te sluiten. Voor de beoordeling en opvolging worden de juridische adviseurs van ID/JZ ingezet, omdat het vooral om een juridische beoordeling gaat. De beslissing om door te melden aan Cbp en andere betrokkenen ligt in eerste instantie bij de security officer, met escalatie naar het GMT (conform het informatiebeveiligingsbeleid). De procedure is per ingericht en gecommuniceerd. Melding van datalekken Vooralsnog door de juridisch adviseur JZ in zijn functie van contactpersoon CBP, in afwachting van de aan te stellen Functionaris Gegevensbescherming, die bij inwerkingtreding van de Europese Algemene Verordening gegevensbescherming ook voor de gemeente Delft verplicht wordt. Preventie, herkenning en nazorg Bij het KCC wordt bij wijze van pilot een werkwijze uitgewerkt, waarbij werkwijzen (proces en gedrag) worden doorgelicht op risico's op datalekken en een handreiking ontwikkeld kan worden voor het omgaan met datalekken bij een team. Bewerkersovereenkomsten De gemeente laat verwerking van persoonsgegevens vaak uitvoeren door derden ( bijvoorbeeld indien een applicatie draait op een server op afstand). Met deze derden ('bewerker' in de zin van de Wbp) zijn bewerkersovereenkomsten gesloten om vast te leggen op welke wijze de gegevens worden beveiligd. De bewerker zal in veel gevallen de eerste zijn die een datalek ontdekt. Het college als verantwoordelijke blijft verantwoordelijk voor de melding, zodat het zaak is nadere afspraken te maken met de bewerkers omtrent de uitvoering van de nieuwe wet, en deze in die bewerkersovereenkomsten vast te leggen. Bovendien is het zaak dat het college op de hoogte wordt gesteld van eventuele datalekken bij de bewerker. Daartoe dienen alle bewerkersovereenkomsten te worden geïnventariseerd en aangevuld. Deze actie vindt plaats in de le helft van De bewerkers wordt eind 2015 alvast verzocht om eventuele datalekken te melden. 9/12

11 Evaluatie De wet kent veel bepalingen die een nadere interpretatie vereisen waarover nog geen jurisprudentie is opgebouwd. Het Cbp heeft richtlijnen opgesteld (nog niet definitief), maar de invulling in de praktijk zal zeker nieuwe inzichten opleveren. Bovendien is niet te voorspellen hoeveel datalekken zullen ontstaan en hoeveel inzet vereist is om deze datalekken goed af te handelen. De nu voorgestelde werkwijze zal daarom medio 2016 worden geëvalueerd om te leren van de eerste ervaringen, de werkwijze zo nodig bij te stellen en een definitievere inschatting te maken van de capaciteit die nodig is voor de uitvoering. Middelen Vooralsnog is het uitgangspunt uitvoering binnen de bestaande capaciteit, met extra projectondersteuning voor een half jaar om de wet te implementeren. Op basis van de evaluatie wordt een definitieve inschatting gemaakt van de benodigde capaciteit voor de uitvoering van de wet meldplicht Datalekken. 7. Besluitvorming Voorstel is om in te stemmen met de voorgestelde wijze van implementatie van de wet Meldplicht Datalekken. De notitie wordt daarna ter kennisneming toegezonden aan de raadscommissie voor R & A aangezien in deze commissie het thema Informatiebeveiliging wordt behandeld. Voorgesteld wordt: 1) In te stemmen met de voorgestelde wijze van implementatie van de wet meldplicht Datalekken. 2) De nota ter kennisneming toe te zenden aan de raadscommissie voor Rekening en Audit 10/12

12 Bijlage 1 Artikel 34a Wbp 1. De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. 2. De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. 3. De kennisgeving aan het College en de betrokkene omvat in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken. 4. De kennisgeving aan het College omvat tevens een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen. 5. De kennisgeving aan de betrokkene wordt op zodanige wijze gedaan dat, rekening houdend met de aard van de inbreuk, de geconstateerde en de feitelijke gevolgen daarvan voor de verwerking van persoonsgegevens, de kring van betrokkenen en de kosten van tenuitvoerlegging, een behoorlijke en zorgvuldige informatievoorziening is gewaarborgd. 6. Het tweede lid is niet van toepassing indien de verantwoordelijke passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens. 7. Indien de verantwoordelijke geen kennisgeving aan de betrokkene doet, kan het College, indien het van oordeel is dat inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene, van de verantwoordelijke verlangen dat hij alsnog een kennisgeving doet. 8. De verantwoordelijke houdt een overzicht bij van iedere inbreuk die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Het overzicht bevat in ieder geval feiten en gegevens omtrent de aard van de inbreuk, bedoeld in het derde lid, alsmede de tekst van de kennisgeving aan de betrokkene. 9. Dit artikel is niet van toepassing indien de verantwoordelijke in zijn hoedanigheid als aanbieder van een openbare elektronische communicatiedienst een kennisgeving heeft gedaan als bedoeld in artikel 11.3a, eerste en tweede lid, van de Telecommunicatiewet. 11/12

13 10. Het tweede en zevende lid zijn niet van toepassing op financiële ondernemingen als bedoeld in de Wet op het financieel toezicht. 11. Bij algemene maatregel van bestuur kunnen nadere regels worden gesteld met betrekking tot de kennisgeving. 12/12