Meldplicht datalekken voor onder meer Google, banken en ziekenhuizen

Banken, transport- en energiebedrijven maar ook internetbedrijven moeten binnenkort hacks melden bij de autoriteiten. Anders kunnen ze stevige sancties verwachten.

Op maandagnacht werden het Europarlement en de lidstaten, verzameld in de Raad van de Europese Unie, het eens over de eerste Europese cybersecuritywet. Die wet is er onder andere op gericht om bedrijven die deel uitmaken van kritieke infrastructuur te dwingen digitale data van hun klanten beter te beschermen.

Naast internetbedrijven staan er volgens het Europarlement ook energiebedrijven, zorginstellingen, banken, de transportsector, financiële markten en waterbedrijven op de lijst van firma's die lekken moeten gaan melden.

Als bedrijven serieuze inbraken moeten gaan melden dan werkt dat als een goede stok achter de deur om ze meer te laten investeren in digitale beveiliging. Zo moet de digitale infrastructuur beter worden beschermd en daarmee de privacy van klanten, zo is het idee.

Sociale media hoeven niet mee te doen

Sociale mediabedrijven zoals Facebook en Twitter zullen niet onder de wet gaan vallen, omdat ze volgens Europese wetgevers geen onderdeel uitmaken van de kritieke infrastructuur, meldt Reuters.

Nu de lidstaten en het parlement een deal hebben gesloten is de wet nog niet direct van kracht. Hij moet nog steeds formeel worden goedgekeurd, maar de kans is klein dat hij nu nog flink verandert.

Consumentenvertrouwen
Volgens Eurocommissaris Andrus Ansip, verantwoordelijk voor digitale zaken, is de aanstaande wet bedoeld om consumenten vertrouwen te geven in internetdiensten. Vooral het vertrouwen in diensten gevestigd in andere landen, zoals webwinkels, moet volgens hem zo groter worden, bericht Reuters.

De nieuwe wet, die bekendstaat als Network and Information Security Directive, zal minder strikt zijn voor internetbedrijven dan voor bijvoorbeeld vliegvelden en de beheerders van gas- en olieleidingen.

Het gaat om een Europese richtlijn. Dat betekent dat lidstaten zelf kunnen bepalen hoe ze de nieuwe regelgeving in de praktijk gaan brengen. Lidstaten moeten dus zelf gaan bepalen welke bedrijven precies onder de meldplicht gaan vallen.

Nederlandse meldplicht vanaf januari
De aanstaande richtlijn is in lijn met de Nederlandse meldplicht datalekken die op 1 januari 2016 ingaat. Onder die meldplicht moeten bedrijven en overheden ernstige datalekken direct melden aan het College bescherming persoonsgegevens (CBP). Als er persoonsgegevens uitlekken moeten betrokkenen ook een melding krijgen van het lek.

Dat moet bijvoorbeeld in het geval van een kwijtgeraakte usb-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker, aldus het CBP.

RTL Z / Loek Essers