- Door
- Rashid Niamat
- geplaatst op
- 2 december 2010 08:01 uur
Terecht dat er vorige week verontwaardiging ontstond toen bekend werd dat de KLPD tapverzoeken naar de verkeerde fax stuurde. Terecht ook dat menigeen zich afvraagt of er geen veilger methode is dan per fax. Jammer alleen dat de pers weinig aandacht besteed aan de vraag hoe datalekken en dataverlies voorkomen kunnen worden.
In Nederland is, tot zo ver mij bekend, deze eeuw nog nooit een partij bestraft voor het verliezen of lekken van data. Zelfs de grootste overtreders lijken weg te komen met de belofte het nooit meer te doen. Gelukkig wordt er inmiddels wel gewerkt aan een wetsvoorstel waarin datalekken verplicht gemeld moeten worden. Of er ook sancties gaan worden opgelegd voor het niet melden is mij echter nog niet bekend. En hoewel sancties niet de hoofdmoot van een wet moeten vormen, het is naar mijn overtuiging een effectieve én noodzakelijke stok achter de deur om alle betrokken partijen scherp te houden.
Bij onze buren aan de andere kant van de Noordzee is men al verder op dit terrein. Gelijktijdig met de KLPD blunder werden daar namelijk de eerste boetes uitgedeeld door het ICO (Information Commissioner’s Office). De taken van het ICO lijken op die van ons CBP en de wet die men primair handhaaft lijkt op onze WBP.
Interessant is te zien welke partijen als eerste een boete kregen en waarvoor. De gemeente Hertfordshire werd beboet, omdat het een lijst met data over kindermisbruik per fax (alweer een fax!) aan de verkeerde stuurden. De fout werd pas na twee keer ontdekt en toegegeven. Die dubbele overtreding kost de gemeente ₤100.000 (€129.000).
De tweede partij die een boete ontving was arbeidsbemiddelaar A4e. ICO vordert ₤ 60.000 (€76.000) omdat een laptop met alle mogelijke gegevens van 24.000 uitzendkrachten gestolen was. De laptop beschikte over geen enkele vorm van encryptie, hetgeen nadrukkelijk wordt vermeld in het boetebesluit.
Het signaal dat hiervan uit moet gaan is dat elke partij die laks omgaat met data en onvoldoende alert communiceert over voorvallen daarvoor moet bloeden. De maximale boete die wordt opgelegd is ₤500.000 (€640.000). Maar wellicht doet de imagoschade meer pijn, want de partijen en voorvallen die het betreft worden uitgebreid in de pers beschreven.
Als het wetsvoorstel datalekken in Nederland op een gelijke wijze wordt opgezet gaan heel wat partijen daarmee te maken krijgen. Dat de opdrachtgever hoofdverantwoordelijk is staat buiten kijf. Maar als je de Britse cases naleest zie je dat ook alle overige partijen in de keten op de vingers getikt wordt, zelfs de laptopleverancier.
