Meldplicht datalekken op z’n Duits

BSI-Logo-640Zoals bekend hebben we in Nederland per januari komend jaar de wettelijke plicht datalekken te melden. Wat we daar tot op heden over hebben gehoord is klinkt vooral logisch. De wet heeft als doel bedrijven te dwingen meer aandacht te besteden aan veilige bewerking en opslag van data. Mocht het ondanks alle zorg fout gaan dan moeten de personen en bedrijven waarvan de data is ontvreemd of gekopieerd daarvan op de hoogte worden gesteld.

Dat is geen leuk vooruitzicht voor iedereen die IT werkzaamheden verricht en daarbij weinig aandacht besteedt aan kwaliteit. Maar dat betreft slechts een zeer kleine groep, want toewijding is in de sector echt wel de regel.

Wat ook een betrekkelijk kleine groep vormt zijn Nederlandse bedrijven die zaken doen met Duitsland en dan in het bijzonder met weer een bepaald type Duitse bedrijven. Zij kunnen namelijk te maken krijgen met de Duitse variant op de wet datalekken “Gesetz zur Erhöhung der Sicherheit informationstechnisc­her Systeme” (link). Die wet is namelijk afgelopen maand al in werking getreden en stelt eisen aan bedrijven die vitale belangen dienen. Achter dat begrip vitale belangen gaan ongeveer 2.000 bedrijven schuil, van banken, via telecomaanbieders tot ziekenhuizen. Zij moeten niet alleen verplicht anoniem melden wanneer er cyberaanvallen op hun systemen zijn uitgevoerd (is dat niet een 24/7 operatie?) ze moeten ook doorgeven wanneer delen van het systeem deel uitmaken van een botnets of op andere wijze overlast veroorzaken. De wet is nu van kracht, maar bedrijven hebben maximaal twee jaar de tijd de processen zo in te richten dat ze aan de meldplicht kunnen voldoen. En of het nu gaat om een grote bank of om een kleine hoster, de boetebevoegdheid van de Duitse toezichthouder zal er voor zorgen dat men ook aan die regels zal voldoen.

Voor wie nu denkt “oh dat is Duitsland maar”, of “rare jongens die Duitsers” hier drie punten van aandacht:

  • de kans dat Duitse IT ondernemers nu nog meer “veiligheid” in gaan zetten als USP om concurrentie in het buitenland af te troeven is groot (denk bijvoorbeeld aan datacenters);
  • de wet betreft bedrijven die actief zijn in Duitsland. Voor wie overweegt zijn hostingactiviteiten via een lokale pop in dat land uit te breiden loont het de moeite zich goed te laten informeren over de verplichtingen die deze wet met zich meebrengt;
  • het laatste punt is het lastigst, wat de impact gaat zijn op het afnemen van IT en hostingdiensten door Duitse bedrijven in het buitenland? Het aanscherpen van eisen in andere sectoren (met name de banken) heeft in het recente verleden aangetoond dat het soms voor aanbieders makkelijker is afscheid te nemen van een bepaalde klantgroep dan de procedures voor een land aan te passen.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.