Boete voor lekken

De Europese Commissie piekert over een betere richtlijn voor datalekken. Telecombedrijven die de gegevens van hun klanten per ongeluk blootgeven, zijn nu verplicht om hun clientèle daarvan op de hoogte te stellen.

Daarbij maakt het niet uit of die gegevens zijn vrijgekomen door een hack of door slordig beheer. Zulke gegevens horen immers terdege beschermd te worden, en mocht die bescherming hebben gefaald, dan hebben de getroffen klanten op z’n minst het recht dat zo snel mogelijk te weten. Het zijn per slot van rekening hún gegevens die onbedoeld rondslingeren.

De huidige richtlijn – niet veel meer dan een notificatieplicht – helpt weinig: hij is te beperkt, te soepel en te laks. Alleen telecombedrijven vallen onder de richtlijn, ze hebben liefst een week om hun klanten te waarschuwen, en er zijn amper repercussies. Wie zich er enigszins in verdiept weet dat datalekken tegenwoordig aan de orde van de dag zijn, en dat ze behoorlijk ingrijpend kunnen zijn. Honderdduizenden patiëntendossiers hier. Tienduizenden creditcards daar. Een half miljoen accounts elders. Persoonsgegevens verliezen (of hacken) is een internationale sport geworden.

Vandaar dat Neelie Smit-Kroes – Steelie Neelie noemen de Engelsen haar – de bewuste Europese richtlijn wil herzien, waarvoor dank! Haar collega Viviane Reding haakte meteen fors in: ook online betaalsystemen, videogames, webwinkels en sociale media horen onder de richtlijn te vallen.

Terecht, want zulke gegevens zijn kostbaarder dan telecomgegevens. Chic is het niet, maar uiteindelijk kan het mij niet bar veel schelen wanneer KPN een bestand laat slingeren met mijn telefoonnummer erin. Maar als de ING of een one click to pay webwinkel mijn inloggegevens kwijtraakt, hoor ik dat echter juist graag. En wel per ommegaande!

Wat mist in de voorstellen is een boetebepaling. Bedrijven en instanties die slordig zijn met andermans gegevens, krijgen alleen een notificatieplicht opgelegd: ze moeten ons melden dat ze hebben gefaald. Nu kosten ook zulke meldingen geld – er is wel uitgerekend dat klanten informeren over een datalek al snel oploopt tot vijf euro per klant – maar dat helpt weinig.

Ik ben voor stevige boetes. Voor elk ontdekt datalek wordt een ferme boete in rekening gebracht, gebaseerd op hoe privé of misbruikbaar de gelekte gegevens zijn, vermenigvuldigd met het potentieel aantal getroffenen.

Alleen dan zullen bedrijven en instanties zich realiseren hoeveel onze gegevens werkelijk waard zijn. En hopelijk stelt die prijs grenzen aan hun tomeloze verzameldrift.


Aantal reacties: 23