Na maanden van wachten is er een wetsvoorstel voor een meldplicht van datalekken gepresenteerd, toch kan de inhoud beter, aldus burgerrechtenbeweging Bits of Freedom. Al in april werd er gesproken dat aanbieders van informatiediensten verplicht zouden worden om diefstal, verlies of misbruik van persoonsgegevens te melden. In het nu gepresenteerde voorstel worden bedrijven verplicht om in het geval van een datalek melding bij het College bescherming persoonsgegevens (Cbp) te doen en bij degene wiens gegevens gelekt zijn.
Waar de melding uit moet bestaan zal het wetsartikel bepalen. In het geval de gelekte gegevens versleuteld zijn, hoeven betrokkenen niet te worden ingelicht. Verzwijgen organisaties en bedrijven het lekken van gegevens, dan kan het Cbp ze een boete van maximaal 200.000 euro geven.
Openbaar
Bits of Freedom (BoF) is blij dat er eindelijk een wetsvoorstel ligt, maar ziet de nodige verbeterpunten. Zo zijn de genoemde criteria nogal vaag en subjectief. Zo hoeft de ledenadministratie van een sportvereniging geen melding te maken. "Maar als er ook wachtwoorden zijn gelekt, dan wil je dat juist wél weten" stelt de burgerrechtenbeweging.
Verder wil het voorstel dat getroffen organisaties een waarschuwing op hun website plaatsen. Iets wat volgens BoF niet werkt. "Het zou betekenen dat je voortdurend op de website van je vereniging moet kijken of er niet een melding van een datalek is toegevoegd." Een ander punt dat de privacywaakhond hekelt is dat de meldingen aan het Cbp niet openbaar worden.
Het voorstel is ter openbare consultatie aangeboden, wat betekent dat iedereen feedback kan geven. Beveiligingsgoeroe Bruce Schneier liet al in 2009 weten dat een meldplicht datalekken niets helpt, hoewel het volgens hem wel beleefd is om mensen te waarschuwen als hun zijn gestolen of verloren.
Deze posting is gelocked. Reageren is niet meer mogelijk.