NL EN

Datalekken nieuws

Nee, wij van SOLV gaan de actie van Webwereld’s Lektober niet over doen. Bovendien, het is al november. Ik zal de dagelijkse melding van nieuwe datalekken missen. Daarom hier wat juridisch getint nieuws van de afgelopen week over dit belangrijke onderwerp.

Vorige week stemde de Tweede Kamer unaniem voor de invoering van een brede algemene meldplicht voor datalekken. Dat is goed nieuws want de meldplicht waarin het wetsvoorstel tot wijziging van de Telecommunicatiewet voorziet, geldt alleen voor aanbieders van een openbare elektronische communicatiedienst of  –netwerk. Dat zijn dus de aanbieders van telefonie en de internet access providers. Een goed begin maar natuurlijk lang niet voldoende. Mede dankzij de Lektober actie weten we immers dat datalekken zich juist vaak voordoen bij partijen die hier niet onder vallen, zoals overheden, banken, ziekenhuizen en webwinkels. De bredere meldplicht zal worden opgenomen in de Wet bescherming persoonsgegevens. Het wetsvoorstel was ons al beloofd voor medio 2011, maar ik vrees dat we 2011 helemaal niet meer gaan halen. Maar dat de brede meldplicht gaat komen staat sinds vorige week wat mij betreft wel vast.

Waar de Tweede Kamer niet voor was, was een motie van D66 om te onderzoeken in hoeverre gebruik kan worden gemaakt van hackers zonder dat deze hoeven te vrezen voor vervolging. VVD, CDA en PVV stemden tegen. Deze motie is vergelijkbaar met het plan van PvdA kamerlid Pierre Heijnen om zogenoemde ‘white hat hackers’, ook wel ethische hackers genoemd, bij voorbaat een klokkenluidersbescherming te bieden. Hoe goed bedoeld deze plannen ook zijn, zelf ben ik daar geen voorstander van (zie mijn eerdere blog).

In de discussie over datalekken is het DigiNotar debacle natuurlijk veel genoemd. De meldplicht datalekken onder de Telecommunicatiewet geldt echter niet voor uitgevers van digitale certificaten, en het is maar de vraag voor wie straks de brede meldplicht precies gaat gelden. Dit terwijl de gevolgen van een veiligheidslek bij dit soort certificaten enorm kunnen zijn (in het geval van DigiNotar: Iraanse bloggers die opeens gevonden konden wordend door de veiligheidsagenten van het dictatoriale regime van Ahmadinejad). Daarom heeft Neelie Kroes inmiddels laten weten dat zij overweegt ook een meldplicht voor uitgevers van digitale certificaten in te voeren. Daarnaast moeten er strengere regels en strikter toezicht komen op bedrijven die sleutels uitdelen om digitaal verkeer te versleutelen en ontsleutelen. Geen overbodige luxe wat mij betreft.

Ook op het gebied van zelfregulering zit men niet stil. Lektober heeft aangetoond dat het lang niet altijd goed zit met de beveiliging van webwinkels. Daarom heeft Thuiswinkel.org, de grootste brancheorganisatie voor webwinkels, besloten aanvullende eisen te stellen aan het Webwinkel keurmerk. Webwinkels krijgen het keurmerk straks alleen nog maar als ze aan bepaalde veiligheidseisen voldoen. Daarbij wordt gedacht aan een best practice systeem (snel informeren bij een lek zal daarvan bijvoorbeeld onderdeel gaan uitmaken) en een minimale ondergrens voor wat betreft het beveiligingsniveau. Ik denk dat dit een heel goed signaal is van Thuiswinkel.org. Geen enkel systeem is 100% veilig maar het schort nu al vaak bij het bewustzijn van veiligheidsrisico’s, waardoor klantgegevens van webwinkels kinderlijk eenvoudig te stelen zijn.

De enorme media-aandacht voor datalekken, met veel dank aan onder meer Webwereld en het zwartboek van Bits of Freedom, heeft in ieder geval tot gevolg dat het bewustzijn van veiligheidsrisico’s veel groter is geworden. Dat voorkomt al te knullige ongelukken. Met een brede meldplicht wordt dan vervolgens de schade van een datalek enigszins beperkt. Het wachten is nu nog op de wetgever.

BRON: Webwereld, Emerce


PAGINA DOORSTUREN

DEZE PAGINA IS SUCCESVOL DOORGESTUURD!

EEN REACTIE PLAATSEN

UW E-MAIL ADRES WORDT NIET GETOOND AAN ANDERE BEZOEKERS.

  1. NAAM
  2. E-MAILADRES
  3. BERICHT
  4. WANNEER U DEZE REGEL KUNT LEZEN, VUL HET VOLGENDE VELD DAN NIET IN!
  5.