Boete voor lekken

Een gastbijdrage van Karin Spaink, ook op haar site te lezen.

De Europese Commissie piekert over een betere richtlijn voor datalekken. Telecombedrijven die de gegevens van hun klanten per ongeluk blootgeven, zijn nu verplicht om hun clientèle daarvan op de hoogte te stellen.

Daarbij maakt het niet uit of die gegevens zijn vrijgekomen door een hack of door slordig beheer. Zulke gegevens horen immers terdege beschermd te worden, en mocht die bescherming hebben gefaald, dan hebben de getroffen klanten op z’n minst het recht dat zo snel mogelijk te weten. Het zijn per slot van rekening hún gegevens die onbedoeld rondslingeren.

De huidige richtlijn – niet veel meer dan een notificatieplicht – helpt weinig: hij is te beperkt, te soepel en te laks.Alleen telecombedrijven vallen onder de richtlijn, ze hebben liefst een week om hun klanten te waarschuwen, en er zijn amper repercussies. Wie zich er enigszins in verdiept weet dat datalekken tegenwoordig aan de orde van de dag zijn, en dat ze behoorlijk ingrijpend kunnen zijn. Honderdduizenden patiëntendossiers hier. Tienduizenden creditcards daar. Een half miljoen accounts elders. Persoonsgegevens verliezen (of hacken) is een internationale sport geworden.

Vandaar dat Neelie Smit-Kroes – Steelie Neelie noemen de Engelsen haar – de bewuste Europese richtlijn wil herzien, waarvoor dank! Haar collega Viviane Reding haakte meteen fors in: ook online betaalsystemen, videogames, webwinkels en sociale media horen onder de richtlijn te vallen.

Terecht, want zulke gegevens zijn kostbaarder dan telecomgegevens. Chic is het niet, maar uiteindelijk kan het mij niet bar veel schelen wanneer KPN een bestand laat slingeren met mijn telefoonnummer erin. Maar als de ING of een one click to pay webwinkel mijn inloggegevens kwijtraakt, hoor ik dat echter juist graag. En wel per ommegaande!

Wat mist in de voorstellen is een boetebepaling. Bedrijven en instanties die slordig zijn met andermans gegevens, krijgen alleen een notificatieplicht opgelegd: ze moeten ons melden dat ze hebben gefaald. Nu kosten ook zulke meldingen geld – er is wel uitgerekend dat klanten informeren over een datalek al snel oploopt tot vijf euro per klant – maar dat helpt weinig.

Ik ben voor stevige boetes. Voor elk ontdekt datalek wordt een ferme boete in rekening gebracht, gebaseerd op hoe privé of misbruikbaar de gelekte gegevens zijn, vermenigvuldigd met het potentieel aantal getroffenen.

Alleen dan zullen bedrijven en instanties zich realiseren hoeveel onze gegevens werkelijk waard zijn. En hopelijk stelt die prijs grenzen aan hun tomeloze verzameldrift.

  1. 1

    Het is te hopen dat Steelie Neelie de aanbeveling van de boetes leest en ter harte neemt. Goed stuk wederom van Karen Spaink.

  2. 2

    “En hopelijk stelt die prijs grenzen aan hun tomeloze verzameldrift.”

    Uhhh, zorgt die hoge prijs niet gewoon voor extra winst voor verzekeraars die nu ook een ‘data-lek’ polis kunnen aanbieden aan bedrijven?

  3. 3

    Ik zou zeggen beboet naar mate van nalatigheid op de een of andere manier. Alles is in principe hackbaar, maar het scheelt nogal of iemand wegloopt met een paar gegevens in een goed beveiligde omgeving of dat een bedrijf gewoon alles open heeft staan en er met de pet naar gooit.

  4. 5

    @2:
    Ook, maar zo’n premie word dan duurder naarmate er meer persoonlijke gegevens worden verzameld, en naarmate deze minder goed beveiligd zijn.
    Het zorgt er dus wel voor dat bedrijven heroverwegen welke data ze van hun leden opslaan en hoe ze deze beveiligen

  5. 6

    @4: Dat zou nog een goed idee zijn ook (afgezien van het idee dat de overheid zo aan de data komt). Ik heb liever dat een hacker zonder kwade bedoelingen mijn gegevens in handen krijgt dan eentje die er ook nog misbruik van gaat maken. Misschien beter een freelance-systeem: Hackers die aan klantgegevens komen zonder die door te spelen krijgen een percentage van de boete.

  6. 7

    Cracken @ 2: Met dat argument kun je alle boetes wel laten valen. Miliieuwetgeving zorgt er alleen maar voor dat wij consumenten meer moeten betalen! Ja, duh :)

    Basszje @ 3: De mate van nalatigheid zou je goed in de boeteregeling kunnen verdisconteren. Dan krijg je een formula als: eenvoud * ernst omvang.

    High @ 4 en Bismarck @ 6: Ik heb eerder inderdaad al gesuggereerd dat je fijn bountyhunters kunt inzetten, bv door hackers 10% van de boete uit te keren, *op voorwaarde* dat zijzelf dan uiterst zorgvuldig met de hack en de gevonden gegevens omgaan.

    Bismarck @ 6: Waarom zouden de data via zo’n boetesysteem (en bountyhunters) in handen van de overheid komen?

  7. 9

    Maar om een passende boete te geven moet je eigenlijk een economische waarde geven aan persoonlijke gegevens. Voor zover ik weet is die er (nog) niet.

    Ik ben benieuwd of de “vrije markt” daartoe in staat is, of zou het puur een valuatie van het boeterisico worden?

  8. 11

    @7: in je antwoord op @6 – het gaat niet alleen om de overheid, maar om de vraag waar de gegevens uberhaupt zijn/blijven.

    @10: geef eens een voorbeeld van zo’n schaal? Van dat soort prescriptieve kaders word ik altijd een beetje iebel. Vaak blijkt zo’n schaal toch een vergiet doordat het moeilijk is om situaties in hokjes te plaatsen. Dat blijft toch mensenwerk.

  9. 12

    “Terecht, want zulke gegevens zijn kostbaarder dan telecomgegevens. Chic is het niet, maar uiteindelijk kan het mij niet bar veel schelen wanneer KPN een bestand laat slingeren met mijn telefoonnummer erin.”

    haha, wtf, jij hebt echt je verstand ergens laten slingeren :P

    Denk je nou daadwerkelijk dat jouw geliefde KPN (enkel omdat het met telefoonnummers werkt) geen belang heeft bij extra gegevens rondom jou? En denk je echt dat het niet meer dan je telefoonnr. opgeslagen heeft? (ik wil je geen nachtmerrie aanpraten: maar ik weet vanuit mijn aanstellingen dat het echt wel meer info van je heeft dan je telnr alleen ;-))

    Gr. [email protected].

  10. 13

    avanaa: Het uitgangspunt bij hackers die gaten vinden en lekken opsporen, horen de gegevens nooit verder te komen dan henzelf. Dat lijkt me de basis voor cvoindersloon: *vinden*, en verder niks ermee doen. Tegelijkertijd is het raar je alleen bezorgd af te vragen wat hackers die melding doen van een lek met de gegevens doen. Het punt van zo’n lek is nu juist dat *iedereen* er iets mee kon.

    Wat betreft zo’n schaal – wat mij betreft zijn rondlsingerende adressen of e-mailadressen geen heel penibel lek. Die zouden dus laag ingeschaald zijn. Financiële gegevens, gezondheidsgegevens etc zouden juist erg hoog scoren. Je kunt denk ik vrij goed bepalen wat ‘erg’ is; laat dat de richtlijn zijn.

  11. 14

    @12: Nee, ik denk helemaal niet dat KPN ‘alleen’ mijn telefoonnummer heeft. Wat ik zei is dat het me niet bijzonder veel kan schelen wanneer KPN een bestand zou laten slingeren met daarin alleen mijn telefoonnummer. Als KPN bestanden laat slingeren waarin staat wie ik waneer heb gebeld is het al een heel ander verhaal.