Infoworld

Terwijl in Nederland de mogelijkheden voor een meldplicht worden 'onderzocht', zijn in de afgelopen zeven jaar in 43 van de Verenigde Staten wetten aangenomen die bedrijven verplichten diefstal of verlies van persoonsgegevens openbaar te maken. Onderzoekers concluderen nu: diefstal van gegevens is er niets minder om geworden.

"Er lijkt geen enkel bewijs dat deze wetgeving diefstal van persoonlijke gegevens doet afnemen," zegt Sasha Romanosky, een van de onderzoekers van de Carnegie Mellon University in Pittsburg, Pennsylvania. Het team van Romanosky heeft alle klachten over diefstal van persoonsgegevens onderzocht die tussen 2002 en 2006 zijn neergelegd bij de Federal Trade Commission (FTC). Doel was te bezien of er enig merkbaar effect viel te constateren op het aantal klachten in die staten waar de wetgeving werd doorgevoerd. Het volledige onderzoek wordt later deze maand gepresenteerd tijdens een Amerikaanse conferentie over informatiebeveiliging in Hanover, New Hampshire.

De FTC vraagt sinds 1999 aan slachtoffers van gegevensdiefstal of ze informatie over hun zaak willen delen via de FTC-website. Die gegevens worden vervolgens gebruikt om criminele trends in kaart te brengen. Er worden veel klachten gemeld, maar desondanks blijft het slechts een klein percentage van alle gevallen van diefstal van persoonsgegevens in Amerika. In 2006 werden bijvoorbeeld 246.035 gevallen van gegevensdiefstal gerapporteerd aan de FTC, terwijl uit een onderzoek van Javelin Strategy een schatting van 8,9 miljoen slachtoffers naar voren kwam. De FTC gaf de verdeling van de klachten over de verschillende staten overigens niet zomaar vrij. De Carnegie Mellon onderzoekers moesten zich beroepen op de Freedom of Information Act (onze WOB) om aan die gegevens te komen.

Meer compliance dan security

Volgens Gartner-analist Avivah Litan is het moeilijk conclusies te trekken uit de tamelijk willekeurige gegevens van de FTC, ook al is dat de enige bron voor dergelijke informatie. Maar hoewel in Amerika dankzij de nieuwe wetgeving iedere vermiste laptop nu voorpaginanieuws is, merkt ze op dat de reactie van veel bedrijven op de strengere wetgeving eerder een focus op compliance is dan op security. Volgens haar is dat niet voldoende om klanten te beschermen: "Als je naar de letter van de wet werkt, maak je misschien wat accountants blij, maar je negeert de geest van de wet," aldus Litan.

Er kunnen verschillende goede redenen zijn waarom de nieuwe wetgeving nauwelijks invloed heeft gehad op de diefstal van persoonsgegevens. De meeste consumenten besteden nauwelijks aandacht aan de verplichte berichtgeving over datalekken. Daarnaast gelooft Romanosky dat beveiligingsbedrijven nog steeds niet genoeg doen om gegevens te beschermen. "In heel veel gevallen komen de beveiligingslekken voort uit belachelijke beveiligingspraktijken," zegt hij. En Romanosky weet waar hij over praat: voordat hij besloot zijn universitaire graad te halen, was hij werkzaam op de beveiligingsafdelingen van bedrijven als Morgan Stanley en eBay. Litan voegt daar nog aan toe: "Als je met de grotere banken praat, hoor je daar dat fraude in de afgelopen 18 maanden sterk is toegenomen. En ze voorspellen dat het de komende twee jaar alleen nog maar erger wordt. De dieven worden steeds beter, en het gebeurt gewoon vaker."

De onderzoekers stellen een aantal stappen voor om diefstal van persoonsgegevens beter te leren begrijpen. Zo schrijven ze in hun thesis dat de Amerikaanse federale overheid een overkoepelende wet moet opstellen die "conflicterende wetgeving tussen verschillende staten wegneemt en compliance vereenvoudigt". Ook pleiten ze voor een standaard voor berichtgeving bij dataverlies, zodat de slachtoffers verzekerd zijn van relevante informatie. Ten slotte adviseren de onderzoekers dat een overkoepelend orgaan moet worden opgericht waar alle gegevens over dataverlies wordt verzameld, zodat consumenten, beleidsmakers en onderzoekers een centrale en betrouwbare bron hebben voor gegevens over dataverlies.

Ondertussen in Europa

In Nederland onderzoekt het ministerie van Binnenlandse Zaken op dit moment een mogelijke meldplicht. Daarbij is een van de vragen of alle bedrijven lekken en problemen moeten melden, of dat een meldplicht zich moet beperken tot 'belangrijke bedrijven' als banken, chemieconcerns en energieleveranciers. Het ministerie zal uiterlijk deze zomer een advies naar de Tweede Kamer sturen.

Europa loopt op dit gebied sowieso nog achter op Amerika. European Data Protection Supervisor Peter Hustinx pleitte in april nog, als reactie op voorgestelde Europese privacywetgeving, voor een uitgebreide Europese meldplicht. In Groot Brittannië nam het parlement afgelopen week wetgeving aan die informatielekken strafbaar stelt wanneer die het gevolg zijn van nalatigheid of roekeloosheid.