'Snel openbaren datalekken wordt lastig'

Dat is althans de reactie van experts uit de sector op voorstellen van de Europese Unie waarbij bedrijven binnen 24 uur de nationale autoriteiten en de getroffen klanten op de hoogte moeten stellen van een datalek.

“Het verplicht melden van een datalek zal moeilijk, zo niet onmogelijk zijn om na te leven", verwacht Bridget Treacy, partner bij het advocatenkantoor Hunton & Williams. Gerhard Eschelbeck, CTO bij het IT-securitybedrijf Sophos, is het met haar eens. Hij omschrijft de termijn als 'zeer agressief'. Volgens hem zullen er gevolgen zijn voor de kwaliteit van de lek-meldingen.

Over-disclosure

Ross Brewer, vice-president en managing director internationale markten bij LogRhytm (een log management solutions provider), is de kwaliteit van de meldingen reeds een probleem in de Verenigde Staten.

“Helaas worden de data die worden gegenereerd door de IT-systemen van een organisatie op een inefficiënte en onhandige manier beheerd. Dit kan leiden tot meldingen van datalekken die niet accuraat zijn."

“Deze 'over-disclosure' is al een groot probleem in de VS. Veel bedrijven voelen zich verplicht om meldingen te doen waarbij de ernst van de problemen vaak overdreven worden", verklaart hij.

Boete

Bedrijven die zich niet houden aan de verplichting om datalekken te melden, zouden een boete van maximaal 2 procent van de jaaromzet kunnen krijgen, in de voorstellen van de Europese Unie.

“De boete voor non-compliance is daarmee extreem groot", meent Marc Dautlich, hoofd informatierecht bij het advocatenkantoor Pinsent Masons. “Middelgrote bedrijven zullen hogere kosten moeten maken. Ze moeten immers een medewerker aanstellen die gaat toezien op het beschermen van persoonsgegevens, ongeacht hoeveel van die data ze daadwerkelijk in Europa verwerken."

Dautlich merkt wel op dat de aanvankelijke voorstellen nog verder gingen. Er was bijvoorbeeld eerder sprake van een boete van 5 procent van de wereldwijde jaaromzet.