Bonafide digitale inbrekers moeten niet vervolgd worden

Wie op internet een veiligheidslek ontdekt, wat meestal gebeurt door ‘ethische hackers’, aarzelt om dit te melden wegens het risico op juridische vervolging. Het op verantwoorde wijze melden van datalekken en kwetsbaarheden van een ICT-systeem kan de veiligheid van het internetgebruik nochtans verhogen. De eigenaar kan dan het probleem oplossen en het datalek dichten voor het publiek wordt.

Volgens mij is er een belangrijke rol weggelegd voor het nieuw Centrum voor Cybersecurity België, een centrum dat verantwoordelijk is voor het toezicht en de opvolging van de cyberveiligheid. Het Centrum voor cybersecurity België moet bedrijven aanmoedigen om te voorzien in een kader voor digitale klokkenluiders, wat de zogenaamde responsible disclosure genoemd wordt. Onze overheidsdiensten moeten daarbij het voorbeeld geven. Belangrijk is dat de eigenaar van de website zelf beslist ‘bonafide inbrekers’ al dan niet toe te laten en niet juridisch te vervolgen.

Het nieuw Centrum voor cybersecurity België moet ook een spin in het web worden voor delen van informatie over kwetsbaarheden, zodat ook andere IT-beheerders maatregelen kunnen nemen en kunnen leren uit meldingen van digitale klokkenluiders.

Haar Nederlandse tegenhanger, het Nederlandse cybersecuritycentrum (NCSC), promoot sinds twee jaar het systeem van digitale klokkenluiders (Responsible Disclosure). Ondertussen zijn er heel wat publieke en private partijen die ook daadwerkelijk een eigen beleid voor digitale klokkenluiders opstellen. Cruciaal is dat de melder geen onnodige schade aanricht voor het aantonen van de kwetsbaarheid en niet meer data downloadt dan nodig is om het lek aan te tonen. Soms stelt de eigenaar van de website een beloning voorop.

Mensura beklemtoont dat er geen medische informatie is gelekt in verband met de medische dossiers van werknemers van verschillende bedrijven. Volgens gegevens die ik nochtans kon inkijken, handelt het wel degelijk over persoonsgegevens, gevoelige medische informatie, werknemers die verdacht worden van diefstal en zwart werk etc.

Enkele voorbeelden:

• “een verminderde werking van haar immuunsysteem”
• “vinger gesneden. Behandeld op spoed”
• “schoonheidsoperatie (kaken en kin)”
• “rugoperatie”
• “opereren aan de sinussen”
• “Bij controle voor laatste ziektebriefje, in april, werd dit nietig verklaard.”
• “absence du 13/01 au 23/03”
• “veelvuldig 1 dag ziekte”
• “In de shop waar deze werkneemster werkt is onlangs een grote som geld gestolen.
• “Werkneemster is ziek”
• “wou verlof hebben omdat hij na zijn uren werkt in het zwart”

Ik vraag me af of Mensura de gedupeerden zal contacteren en pleit voor een verplichte meldplicht van datalekken aan de gedupeerden en aan de Privacy Commissie. Ik heb samen met Sonja Becq ook een wetsvoorstel klaar dat het toezicht op de naleving van de privacywet wil versterken, de administratieve rompslomp wil verminderen, het inzagerecht in de eigen persoonsgegevens wil uitbreiden en het eerder vermelde meldplicht wil invoeren.