Computable schreef 22 september over de invoering van de meldplicht van datalekken. Ik denk persoonlijk goed nieuws voor iedereen. Over het algemeen hoorde ik altijd twee verschillende meningen als het gaat om dit onderwerp. De eerste mening was een steeds luider wordende roep om deze meldplicht en de andere mening was eigenlijk geen mening. De meeste mensen die weinig met it hebben of hypersensitief zijn als het gaat om privacy-zaken, hadden niet echt een duidelijk uitgesproken stem, pas als ik de tijd en zin had om uit te leggen wat de achterliggende gedachte is, begon men zich een mening te vormen.
Ik denk dat deze richtlijn, over liever gezegd verplichting, twee belangrijke zaken gaat bewerkstelligen. De eerste en wat mij betreft de allerbelangrijkste, is dat er een bewustwording gaat komen bij het management van bedrijven, organisaties en instanties met welke type data er gewerkt wordt. Organisaties zullen moeten gaan nadenken waar, welke soort gegevens staan en wat de mogelijke riscico's zijn ten aanzien van verlies, diefstal of lekken.
Het tweede is natuurlijk de verplichte verbetering van de beveiliging van data. Bij heel veel bedrijven of organisaties werd data security, gezien als een ‘leuk om te hebben', maar we zijn toch geen bancaire instelling dus we regelen het nog even niet in. En als er dan een keer een incident plaatsvond, was vaak het grootste verlies van het bedrijf het feit dat er hardware kwijt was. En dat de werknemer doorgaans ook vergeten was een back-up te maken, waardoor er veel extra uren gewerkt moesten worden om weer volledig op de rit te zijn. Er werd totaal niet nadacht over de gevolgen voor de klanten van wie de gevoelige persoonlijke of bedrijfsinformatie op het systeem stond.
Daarnaast ben ik er ook zeker van dat deze meldplicht naast een positief effect op de aandacht van encryptie-oplossingen voor laptops (Windows en Mac), usb-sticks en smartphones ook de juiste push gaat geven aan de data loss prevention (dlp)-oplossingen van de verschillende softwarefabrikanten, die er voor moeten zorgen dat gevoelige data niet per ongeluk of express per email of via het web de organisatie verlaat.
Even een toelicht op de situatie meldplicht:
In de komende Telecomwet is Meldplicht opgenomen. De tekst is ivm het demissionaire kabinet 1 op 1 overgenomen van Europa. Inmiddels is duidelijk dat de Europese tekst meer vragen oproept dan duidelijkheid schept. Gemiste kans. ICT office heeft begin dit jaar hierover een zeer interessante bijeenkomst over georganiseerd, waar EZ ook bij was.
Bij het goedkeuren van de Europese richtlijn heeft het EP aangegeven dat het een goed initiatief was, maar gek dat het alleen voor de telecomsector geldt. Dus men is hierop aan het werk gegaan.
Het is dus niet verbazingwekkend dat in het nieuwe concept regeerakkoord (http://www.kabinetsformatie2010.nl/dsc?c=getobject&s=obj&objectid=127446) dus ook meldplicht is opgenomen (Pagina 42) voor alle diensten van de informatiemaatschappij.