Meldplicht datalekken: niet morgen, maar nu
- 13 maart 2012
Het ministerie presenteerde eind vorig jaar eindelijk haar voorstel voor een meldplicht datalekken. Iedereen mocht zijn mening over het voorstel geven. Natuurlijk heeft Bits of Freedom van zich laten horen, maar ook de brancheorganisatie voor ICT-bedrijven, ICT~Office, deed dat. Zij vindt dat we maar van een meldplicht moeten afzien. De meldplicht kan volgens ons inderdaad beter, maar hoeft daarom niet te worden afgeschaft.
In een brief maakt ICT~Office duidelijk (pdf) dat ze openheid over wat er met jouw gegevens verkeerd gaat alleen maar eng vindt. Een beter alternatief is volgens ICT~Office dat organisaties die hun best hebben gedaan om de gegevens goed te beveiligen een lek helemaal niet hoeven te melden. Een meldplicht zou te veel negatieve publiciteit opleveren (bijlage, p. 3). Ook vindt ze de voorgestelde meldplicht veel te breed en moeten veel te veel lekken gemeld worden (bijlage, p. 5). Dat het centrale register niet openbaar is vindt de organisatie best, maar ze ziet “te weinig waarborgen om meldingen echt vertrouwelijk te houden” (bijlage, p. 6). Nog liever wil ze dat het ministerie, in afwachting van Europese regels die er ooit nog eens gaan komen, het voorstel inslikt (brief, p. 1).
Dat ICT~Office zoveel problemen ziet, komt omdat ze het allerbelangrijkste negeert: jou. Maar jij bent degene om wie het gaat. De meldplicht komt er zodat jij, als jouw gegevens op straat liggen, stappen kan ondernemen om de gevolgen van dat lek te beperken. ICT~Office noemt ook dat belang, maar wel pas ná “het voorkomen van datalekken”.
En als het doel is om jou zo veel mogelijk te beschermen tegen de consequenties van een lek zou de hele meldplicht anders moeten worden ingericht. De meldplicht zou van toepassing moeten zijn bij onbevoegde toegang tot jouw gegevens – en niet bij een inbreuk op beveiligingsmaatregelen, zoals nu is voorgesteld. Wij schreven dat ook al in onze reactie aan Teeven.
Als dát het uitgangspunt van de wet is, vervalt ook veel van de kritiek van ICT~Office. Het is dan niet meer relevant of een organisatie die jouw gegevens lekt de beveiliging op orde had of niet. Belangrijk is dan alleen dat ze op straat zijn komen te liggen en dat jij dat direct te horen krijgt. Ook hoeft de organisatie geen melding te doen van een inbreuk op de beveiliging als daarbij niet ook jouw gegevens op straat zijn komen te liggen. Dat scheelt weer een berg red tape. En het CBP wordt ook een hoop werk bespaard als het register openbaar is. Die openbaarheid is sowieso nodig, want alleen dan worden we er allemaal wijzer van. Alle beleidsmakers kunnen met een openbaar centraal register hun beleid op feiten baseren. Daarnaast kan jij dan een gefundeerde keuze maken als je op zoek bent naar een nieuwe aanbieder.
Wachten op Europa is geen goed idee: die onderhandelingen zullen zonder twijfel een langdurig proces zijn, waarvan het resultaat volstrekt onduidelijk is. Meerdere keren per week onderstreept een nieuwe toevoeging aan het Zwartboek Datalekken de noodzaak van een meldplicht. En dat zijn dan slechts de lekken die toevallig het nieuws hebben gehaald. In werkelijkheid zal het veel vaker voorkomen dat jouw gegevens op straat zijn komen te liggen. We moeten dan ook niet wachten met een meldplicht datalekken – die moet nu.