In de staat Californië bestaat al een dergelijke wettelijke verplichting voor bedrijven. Deze wet heeft er dit jaar toe geleid dat meer dan zestig bedrijven die gegevens over Amerikaanse burgers verzamelen, bekend moesten maken dat er een veiligheidsincident had plaatsgevonden.

Zo moest LexisNexis door het stof omdat identiteitsdieven er in maart in slaagden om gegevens van 32.000 Amerikaanse burgers te bemachtigen. De inbrekers waren onder meer in staat om namen, adressen, nummerbordgegevens en 'social security'-nummers te bemachtigen. De dieven kunnen dergelijke gegevens onder meer gebruiken bij het aanvragen van creditcards op andermans naam.

De wet van Californië verplicht bedrijven alleen om inwoners van die staat te informeren, maar in de praktijk kunnen de bedrijven er niet omheen om ook burgers uit andere staten op de hoogte te stellen. Door een federale wet zou deze bestaande praktijk in wetgeving worden omgezet.

Lappendeken

Opmerkelijk genoeg hebben de plannen voor een federale wet ook de steun van de bedrijven die daardoor openheid van zaken moeten geven over hun problemen met het beveiligen van consumenteninformatie. Zij vrezen dat er anders een 'lappendeken' van lokale wetten zal ontstaan.

De belangrijkste plaatselijke wet die de bedrijven vrezen, is afkomstig uit de staat New York. De gouverneur van New York, George Pataki, heeft vorige maand een wet ondertekend die medio december van kracht wordt.

Deze wet verplicht bedrijven om het elke keer bekend te maken als er sprake is van ongeautoriseerde toegang tot databases met persoonsinformatie. De New Yorkse wet maakt daarbij geen uitzonderingen voor kleine inbreuken of voor incidenten waarbij de kans op identiteitsdiefstal heel klein is.