En onze meldplicht datalekken?

wendys630De vraag of de per januari van dit jaar geldende verplichting tot het melden van datalekken ook echt een oplossing is en voor welke problemen precies wordt vaker gesteld. Je hebt er weinig fantasie voor nodig om te begrijpen dat de eisen en voorschriften door een deel van de markt vooral wordt beschouwd als het zoveelste bewijs dat de overheid ons alleen maar aan het werk zet en zelf niet verder komt dat het verzamelen van data.

Daar tegenover staat de groep, dat is ook een deel van de markt, die zegt: nee de meldplicht helpt wel degelijk. In combinatie met de mogelijk torenhoge boetes en de imagoschade zullen bedrijven meer dan ooit inzetten op “voorkomen is beter dan genezen” en alleen dat maakt deze wet al OK. En dan is er nog de groep die bestaat uit intermediairs, dat zijn bedrijven en ondernemers die als (onder-) aannemers fungeren en in principe niet verantwoordelijk zijn te stellen voor de fouten die hun klanten begaan, maar wel extra op hun tellen moeten passen, want “in principe niet verantwoordelijk” is iets anders dan “nooit verantwoordelijk”.

Drie groepen dus (er zijn er meer) die alle drie een mening zullen hebben over het situatie bij Wendy’s. De Amerikaanse fast food keten is gehackt. De teller staat op dit moment bij 1000 van de 6500 filialen, het merendeel betreft franchises. Volgens Brian Krebs en anderen zijn de betaalterminals geïnfecteerd met malware. De manier waarop dit kon gebeuren kan bijna iedereen wel raden, maar de Wendy’s franchise houders en het HQ schijnbaar niet: de firma die de terminals remote beheert is zelf gehacked en daarna was het voor de cybercriminelen een koud kunstje elke POS te besmetten (welkom in 2016!).

Betaalgegevens die ontvreemd worden: dat betekent in de VS direct overgaan tot het informeren van de instanties en betroffen klanten. Dat is daar een vereiste in zo goed als elke staat en heeft als doel erger leed te voorkomen. Maar nu komt het: Krebs & Co wijzen er op dat Wendy’s door onder andere de banken voor de rechter wordt gesleept. De melding van het lek dateert van januari 2016, de POS hack was voor die datum al gestart maar gaat schijnbaar nog steeds door. De banken verwijten Wendy’s en partners (lees: de IT clubs die de POS remote beheren) ernstige nalatigheid.

Dat betekent dat ook de vraag wordt gesteld: wat heb je aan een meldplicht als een lek schijnbaar niet wordt gedicht? Wat er ontbreekt is de verplichting in die situatie de risicofactor gewoon te killen (verbod op het gebruik van pinautomaten) of de bevoegdheid voor toezichthouders de betroffen zaak en/of die van de intermediair te sluiten.

De meldplicht datalekken in Nederland is wat betreft ook met de nodige rookgordijnen omgeven, vooral omdat echte sancties ontbreken. Daarom weten we niet hoe de Nederlandse toezichthouder op een case als Wendy’s zou reageren en of in een dergelijk geval ook de IT bedrijven een sanctie zouden kunnen verwachten.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.