- Door
- Rashid Niamat
- geplaatst op
- 14 juli 2011 07:58 uur
De lezers van ISPam is bekend dat de Nederlandse politiek werkt aan een wet om paal en perk te stellen aan datalekken. Naar het zich laat aanzien zullen bedrijven verplicht worden aan de klanten te melden wanneer er sprake is geweest van een datalek, opdat de gedupeerden treffende maatregelen kunnen nemen.
Dat aanbieders van telecomdiensten en internettoegang het wetsvoorstel proberen te torpederen is voorspelbaar. Het zijn immers deze bedrijven die het als meest kwetsbaar gelden en al de nodige ervaring hebben met het verliezen van gevoelige data. Er zijn ook sectoren die weinig van zich laten horen, wellicht dat zij de lobby op discretere wijze inzetten en zo willen voorkomen dat ze als mogelijk doel opvallen. Tot die laatste categorie horen alle financiële en medische instellingen, maar ook verzekeringsmaatschappijen, webwinkels en jawel hosters.
Alle bedrijven die tot nu toe weet hebben van het wetsvoorstel, maken zich opvallend genoeg eigenlijk zorgen om maar twee zaken: wanneer is iets een datalek en moet ik dat dus melden en wat gaat een datalek mij kosten.
De eerste vraag is al lastig te beantwoorden. Het spreekt voor zich dat als er een usb-stick met personeelgegevens in een huurauto is blijven liggen er sprake is verlies van data en dat dit gemeld moet worden. Er zijn echter zonder moeite eenvoudigere voorvallen te beschrijven, waarvan niet duidelijk is of ze ook onder de definitie vallen. Om er een te noemen: een mailing waarbij CC: en BCC: veld worden verwisseld. Dat komt vaak voor en kan voor de ontvangers zeer vervelend, ja zelfs schadelijk, zijn.
De beantwoording van de tweede vraag kent twee aspecten. De indirecte schade, in de vorm van imago en de directe schade in de vorm van een boete of veroordeling.
Voor wat betreft de directe schade is er afgelopen maand in Engeland een interessante ontwikkeling waargenomen. De privacywaakhond heeft namelijk gepleit voor een forse verhoging van de maximale boete voor het verlies van data. Niet alle zondaars, maar specifiek de gezondheidssector dient zwaarder gestraft te worden voor het verlies of lekken van data. Dit lijkt de enige manier te zijn de ‘disturbing’ culture in the health service te corrigeren.
Hoewel de aanleiding stuitend is, geeft het wel een mogelijke ontwikkeling voor de bestrijding van datalekken in Europa en daarmee dus in Nederland aan. Want wat de Britse toezichthouder wenst te introduceren is een boete – en handhavingsbeleid gebaseerd op risicoprofielen. Sectoren waarvan de individuele bedrijven goed opletten en een positieve trackrecord hebben kunnen rekenen op milde boetes. Sectoren met er met de pet naar gooien vallen in een hoger tarief.
Gelukkig is de hostingsector in de regel alert op mogelijke datalekken. Daarnaast is het een sector waarbij de onderlinge (in-)formele samenwerking goed functioneert. Zo blijkt maar weer dat samenwerking loont.
