Het Europese cybersecurity-agentschap Enisa consulteerde telecomoperators en DPA’s inzake verplichte meldingen van datalekken, ter voorbereiding van maatregelen in 2011.
Het Europese cybersecurity-agentschap Enisa consulteerde telecomoperators en DPA’s inzake verplichte meldingen van datalekken, ter voorbereiding van maatregelen in 2011.
In het rapport ‘Data Breach Notifications in the EU’ biedt het European Network and Information Agency (Enisa) een kijk op de bezorgdheden van telecomoperators rond de nakende verplichting om datalekken te melden, zoals vervat in Europese richtlijn 2009/136/EC (25 november 2009). Enisa plaatst daar tegenover de wensen van de nationale Data Protection Authorities (DPA’s).
De operators drukken in het bijzonder hun bezorgdheid uit dat zo’n melding schade aan hun ‘brand’ zou berokkenen, of de inhoud van de melding de relatie met de klanten negatief zou beïnvloeden. De eis om zo snel mogelijk een inbreuk te melden, botst bovendien met de wens van de operators om eerst hun inspanningen te wijden aan de oplossing van het probleem.
Van hun kant wensen de DPA’s – verantwoordelijk voor de opvolging van de nationale wetgevingen inzake privacy en databescherming – meldingen met alle nodige informatie en dat zo snel mogelijk. Bovendien menen ze dat een bevoegdheid om sancties op te leggen, hen kan helpen om de regels beter te doen naleven.
Voorts wordt opgeroepen dat de reactie op een datalek in verhouding zou staan tot de ernst van de het lek, om een ‘notificatie moeheid’ te voorkomen. Een bijkomend probleem is dat de bevoegde autoriteiten wellicht al andere prioriteiten hebben.
De richtlijn voorziet dat in het geval van een datalek de elektronische dienstverlener informatie hierover moet verstrekken aan de bevoegde nationale autoriteit, evenals de betrokken personen als het lek hun privacy aantast. Dat laatste is evenwel niet nodig als de operator kan aantonen dat hij de geschikte technologische maatregelen ter bescherming heeft genomen. In de loop van 2011 moet Enisa de richtlijnen opstellen voor de technische implementatieregels en procedures. Ook moet worden nagegaan of de richtlijn inzake datalekken ook naar andere sectoren – zoals de financiële wereld, gezondheidszorg, kmo’s – moet worden uitgebreid.
Momenteel bestaan er nationale wetgevingen voor een verplichte melding van datalekken in Duitsland, Spanje, Groot Brittannië en Ierland.
