Controle moeilijk uit te voeren

7 december 2011

In plannen die volgende maand worden gepresenteerd, stelt de Europese Commissie voor boetes op te leggen tot 5 procent van de jaaromzet bij organisatie die slordig omgaan met de privacy. Dat betekent dat grote bedrijven miljardenboetes in het vooruitzicht gesteld krijgen, concludeert The Financial Times uit een conceptversie van de plannen waar de krant toegang toe kreeg.

Organisaties krijgen in de nieuwe plannen na ontdekking van het probleem 24 uur de tijd om de toezichthouder op de hoogte te stellen. De Europese Commissie hanteert deze voorwaarden voor alle privacyregelateerde problematiek, zoals verlies van gegevens van klanten, toeleveranciers en eigen personeel door een digitale inbraak. Daarmee voert de Europese Commissie (EC) een brede meldplicht voor datalekken in.

De EC werkt al enige tijd aan een wet die bedrijven die zaken doen in de Europese Unie verplicht onmiddellijk melding te maken van grote data-aanvallen. Voor telecombedrijven en internetaccessproviders geldt al een meldplicht voor datalekken als onderdeel van de Europese e-Privacyrichtlijn. De nieuwe wetsvoorstellen van de EC voeren een veel bredere meldplicht in. Daarvoor moet een organisatie een beveiligingsbeleid vaststellen en alle datalekken zelf registreren en melden.

Hoe de EU denkt te kunnen controleren of bedrijven zich ook houden aan die meldplicht, is niet helemaal duidelijk. Wel zullen regels ingevoerd worden voor het documenteren van een beveiligingsbeleid. Dat een organisatie vervolgens een datalek moedwillig niet meldt, is maar moeilijk te ontdekken. Het komt misschien bij een inspectie naar boven of als bijvoorbeeld hackers een aanval trots bekend maken.

Mr. F.J. Zuiderveen Borgesius, promovendus bij het Instituut voor Informatierecht van Universiteit van Amsterdam, pleit al langere tijd voor een bredere meldplicht. Inspecties lijken hem wel een mogelijkheid. Ook kan hij zich wel voorstellen dat een commerciële auditor kan helpen met het vaststellen en bij de tijd houden van het beveiligingsbeleid.

“IT-auditors zouden daarin wel een rol kunnen spelen”, zegt ook Ard Niesen, voorzitter van Norea, de beroepsorganisatie van IT-auditors. “Dit is het vakgebied waar wij verstand van hebben. Wij kunnen klanten helpen te voldoen aan de wetgeving. Onze rol als auditor is dat we klanten helpen bij het inrichten van een systeem zodat zij op de hoogte zijn van aanvallen op hun data. Nu zie je nog veel dat ze dergelijke systemen niet hebben. Daarnaast hebben we een signalerende rol. Als we iets zien dat niet klopt, moeten we dat eerst aan het management van de klant melden. Doet die daar vervolgens niets mee, dan is de volgende formele stap dat wij dat aan de autoriteiten melden. Dat proces zouden wij ook voor de meldingsplicht van datadiefstallen kunnen gebruiken.

Niesen wijst ook op de beroepsregels van Norea: “Belangrijk daarbij is de cliëntvertrouwelijkheid. Wel is het zo dat wij fraude móéten melden, maar dat is niet onze primaire taak. Voorlopig zien wij onze rol veel meer in het zodanig helpen van bedrijven dat ze kunnen zien dat en wat er is gelekt.”

Data protection officer

De EC zelf wil een data protection officer verplicht stellen voor alle organisaties met meer dan 250 medewerkers. Die is er verantwoordelijk voor dat de organisatie zich aan alle regels rondom databescherming houdt.

In de VS is de meldingsplicht van datalekken in de meeste staten al vanaf 2002 een feit. De zogeheten Data Security Breach Notification Law houdt in dat bedrijven onmiddellijk een datalek moeten melden aan de politie en dit ook schriftelijk moeten melden aan de klanten die daardoor getroffen zijn. Een nationale wet hiervoor is echter nog altijd niet aangenomen, ondanks diverse pogingen daartoe.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!