Veel bedrijven hebben tegenwoordig grote databases met gegevens over mensen. Soms gaat er wel eens iets fout en dan liggen de gegevens van een heleboel mensen op straat. Ik wil dat zodra gegevens lekken dat het bedrijf (of overheid!) verplicht is zonder onnodige vertraging alle betrokkenen in te lichten over de lek. Ik zal proberen een aantal redenen te geven waarom deze meldplicht nodig is.
Schadebeperking
Bij een datalek zijn vaak veel mensen een slachtoffer. Afhankelijk van wat er gelekt is kan het heel verstandig zijn om wachtwoorden te veranderen, apps te deinstalleren of in extreme gevallen zelfs identiteitsdiefstal verzekering af te sluiten. De realiteit is echter dat de bedrijven die lekken vaak helemaal niet willen toegeven dat er data gelekt is. Het is dan onmogelijk om zelf maatregelen te nemen. Ook als het bedrijf gegevens lekt door een inbraak en het bedrijf doet aangifte tegen de dader hebben de slachtoffers van de lek daar niets aan. Ze kunnen hun eigen data er niet door terugkrijgen en het zal ook niet helpen om ze te informeren over de lek.
Je recht om te weten wat er met je data gebeurd
Volgens de wet bescherming persoonsgegevens heeft iedereen recht om te weten met welke doelen zijn of haar persoonsgegevens verzameld worden en aan wie deze gegevens verstrekt worden. Sterker nog: verwerkers van persoonsgegevens hebben zelfs de plicht om in een openbaar register te registreren wat voor gegevens ze verzamelen, met welk doel en aan wie de gegevens verstrekt worden. Het zou vreemd zijn als een bedrijf onder deze plicht vandaan kan komen als het verstrekken van de gegevens onbedoeld was. Ik zou juist willen stellen dat de principes achter het openbare register zoals gedefineerd in de Wbp juist extra sterk van toepassing zijn op gelekte gegevens. Ik zou dan ook deze principes willen doortrekken en bedrijven willen verplichten om ook datalekken te laten registreren in een vergelijkbaar register.
Concurreren op veiligheid
Veiligheid van gegevens gaat een steeds belangrijkere rol spelen diensten. Maar stel dat je een bedrijf wilt uitkiezen die veilig omgaat met je gegevens, hoe werkt dat in de praktijk? In de praktijk kies je een bedrijf uit op het vertrouwen dat ze uitstralen, maar als je echt dieper gaat kijken zal je ontdekken dat vertrouwen en veiligheid slechts losjes verband hebben met elkaar. Je kan het vergelijken met voedsel; als je wilt dat mensen een geïnformeerde beslissing kunnen nemen over wat ze eten verplicht je producenten transparant te zijn over de ingrediënten. Het is lastig om alle interne procedures van een bedrijf die van invloed zijn op de veiligheid van gegevens openbaar te maken. Maar wat je wel kan is een bedrijf verplichten om te vermelden de bescherming van de gevoelige gegevens mislukt is. Als klant kan je dan in ieder geval kiezen voor een bedrijf dat weinig fouten gemaakt heeft.
Als je het idee hebt dat ik iets over het hoofd gezien heb, een fout gemaakt heb, of als je het gewoon niet met mij eens bent lees ik het graag in de comments.