- Door
- Rashid Niamat
- geplaatst op
- 15 juli 2013 08:01 uur
In Nederland wordt gesproken over de meldplicht datalekken. De laatste stand van zaken is dat er nog steeds flinke kritiek is op het wetsvoorstel. Zo is er de Raad van State die in een advies de regering wijst op de onduidelijke beschrijvingen en de kosten voor het bedrijfsleven die daar het gevolg van kunnen zijn.
Voor de goede orde de definitie van bedrijfsleven is in het wetsvoorstel breed gekozen. Het gaat van de bakker die zijn klantenbestand in Excel heeft staan, via de grote bedrijven die zwaar op IT en outsourcing leunen, tot de bedrijven die dat laatste op zich nemen en daar raakt het voorstel bijvoorbeeld ook online storage en hosting. Bits of Freedom heeft eveneens kritiek, onder andere omdat de persoon waarvan de data is gelekt volgens het wetsvoorstel pas hoeft te worden geïnformeerd wanneer er sprake is van ‘waarschijnlijk ongunstige gevolgen heeft voor je persoonlijke levenssfeer’.
Daarnaast zijn er de voorspelbare reacties vanuit het bedrijfsleven als: we zitten niet te wachten op nog meer controle en sancties. Dit wordt vaak gecombineerd met de uitspraak dat de ondernemer toch echt een belang heeft uiterst zorgvuldig met klantdata om te gaan. Praten over datalekken blijft daarmee in Nederland een welles nietes spel waarbij de insiders met echte feitenkennis in de minderheid lijken, of geen reden zien hun kennis te delen. Een discussie overigens waarbij het ontbreken van input vanuit de hostingsector wederom direct opvalt.
Wil je als burger, ondernemer of specifiek aanbieder van elektronische dienstverlening (hosting, storage en netwerkconnectiviteit) weten hoe datalekken ontstaan, waar in de keten, waar ze je business raken, wat je van die fouten kan leren en waarom het wetsvoorstel misschien niet helemaal aan de wensen voldoet is het in Nederland dus lastig om tot een compleet beeld te komen. Je kunt uiteraard het BOF zwartboek raadplegen, maar dat is niet volledig.
Wil je bruikbare informatie dan zul je moeten teruggrijpen op data beschikbaar gesteld van overheidswege, omdat er sprake is van wettelijke verplichtingen met betrekking tot het melden van de lekken. De staat Californië is dan een interessante bron van informatie omdat daar al sinds 2003 een meldplicht datalekken bestaat. De wet waarin dit werd vastgelegd, is vorig jaar aangepast waardoor er nu een gestandaardiseerde publicatieplicht is van datalekken waarbij data van meer dan 500 burgers per incident in het geding zijn. Deze data is allemaal online te zien en door de verantwoordelijke Attorney General, Kamala Harris, verwerkt in een goed leesbaar rapport met aanbevelingen. Dit is dus leesvoer waar we ook in Nederland van kunnen leren. Elk van de 131 cases is opvraagbaar en een standaardformulier maakt dat de gevallen onderling vergeleken kunnen worden.
Conclusie na het lezen van de cases en het rapport van Harris is dat er nog veel data unencrypted wordt opgeslagen. Dit is, net als in Nederland, in Californië primair de verantwoordelijkheid van de partij die de data vergaart, maar partijen elders in de keten (bijvoorbeeld hosters) kunnen hier een rol spelen bij het informeren over de risico’s van een dergelijke werkwijze en het doen van een passend aanbod. Tweede punt van aandacht: er wordt nog steeds te makkelijk en te vaak persoonlijke data opgeslagen. Is dit een punt waar de hostingprovider een rol te vervullen heeft? Indirect wel, want als hij bekend is met het feit dat er gevoelige data wordt vergaard, opgeslagen en verwerkt, kan hij de bijzondere beschermingsmaatregelen treffen en daarmee zijn klant en zich zelf conformeren aan de wettelijke eisen (nu reeds de WBP).
De laatste conclusie die Harris maakt op basis van de analyse is dat de informatievoorziening door bedrijven in de keten onderling en vooral naar getroffen klanten beter moet. Dit punt wordt zwaar aangezet en vergezeld van de opmerking dat als hier geen sprake is van verbetering de wetgever aan zet is. Zoals al vaker op ISPam aangegeven, ligt hier heel duidelijk een taak voor hosters. Zorg dat je adequaat reageert op (mogelijke) databreaches. Het vermindert nu reeds reputatieschade voor jezelf en je klant en op termijn ook de kans op boetes.