Ook Griekse bedrijven zouden lekken moeten melden
- 13 september 2011
We zetten ons er al langer voor in: een meldplicht datalekken. Staatssecretaris Teeven belooft het ook al langer, maar we hebben nog niets concreets langs zien komen. Ondertussen wilde de Europese Commissie via een consultatie leren wat iedereen van een meldplicht datalekken vindt. Ons antwoord is simpel: direct invoeren, beter gisteren dan vandaag.
Als de Europese Commissie om input vraagt, wordt ze vaak overspoeld met reacties. Het probleem is: meestal is het merendeel van de reacties afkomstig van bedrijven. En bedrijven houden inbraken op hun systeem soms liever geheim, zoals de inbraak bij DigiNotar weer laat zien.
Daarom vonden we dat Bits of Freedom ook een bijdrage moest leveren aan deze consultatie (PDF). En dat hebben we niet in ons eentje gedaan: dat hebben we gedaan met hulp van talloze vrijwilligers, die commentaar hebben gegeven op ons concept. Heel veel dank voor jullie hulp!
Samengevat is onze inbreng (PDF) bij de Commissie:
“In short, the purpose of a personal data breach notification is to protect individuals, empower organisations which protect these individuals and gain insight into and awareness about data breaches. Notification obligations should thus apply to all sectors and should be effective, in timing, method and scope. Furthermore, notification to a public registry should provide sufficient information to allow individuals, media and policy makers to analyse the breaches.”
We hebben daarbij geput uit onze rijke ervaring van de afgelopen tijd met het Zwartboek Datalekken, waar we – tot onze grote zorg – bijna wekelijks wel nieuwe datalekken aan toe kunnen voegen. En we vrezen dat dit het topje van de ijsberg is – de rest wordt niet gemeld, haalt de media niet en blijft dus geheim. Dat moet direct veranderen: dit is een urgent probleem. We hopen dat de Europese Commissie zo snel mogelijk aan de slag gaat. En dat ondertussen staatssecretaris Teeven voor Nederland dit al goed regelt.