De afgelopen vijf jaar hebben 43 Amerikaanse staten een meldlpicht ingevoerd. Het gaat om wetten als de SB 1386 in Californië. Hierbij worden bedrijven en instellingen verplicht inwoners van de staat op de hoogte te brengen indien hun persoonlijke informatie is verdwenen of gestolen.

Topje van de ijsberg

Onderzoekers van de Carnegie Mellon University hebben op basis van informatie van de Federal Trade Commission (FTC) per staat uitgezocht of de aangiftes hierdoor zijn afgenomen. "Er is geen enkel bewijs gevonden dat de wetten het aantal gevallen van identiteitsfraude verminderen", concludeert onderzoeksleider Sasha Romanosky.

Vanaf 1999 vraagt de FTC aan slachtoffers van identiteitsfraude om informatie over hun zaak op een website te zetten. Die aangiftedata is dan toegankelijk voor politie en justitie, die op basis hiervan trends in criminaliteit kunnen onderzoeken. Het is echter nog maar het topje van de ijsberg: in 2006 stonden er 246.035 gevallen van ID-fraude op, terwijl er naar schatting 8,9 miljoen slachtoffers van waren van misbruik van privacygevoelige informatie.

'ID-dieven worden beter'

De onderzoekers van Carnegie Mellon konden de FTC-data per staat inzien. Hieruit bleek dat de wetgeving geen enkel effect had. Wel zagen zij soms verbanden tussen het aantal gevallen van ID-diefstal en de samenstelling van de bevolking en de omvang van de economie per staat, zegt Romanosky.

Omdat de data van de FTC niet volledig is, zijn er geen harde conclusies te trekken, meent Gartner-analist Avivah Litan. Wel zijn bedrijven door de strengere wetgeving meer gericht op compliance dan op beveiliging. Dat is vaak onvoldoende om klanten te beschermen tegen ID-diefstal, meent Litan. Bovendien zouden de ID-dieven beter in hun werk worden, zodat het aantal fraudegevallen alleen maar zal toenemen.

Oplossingen

Romanosky geeft toe dat de methodologie van zijn onderzoek niet volmaakt is, omdat deze alleen is gebaseerd op de FTC-aangiftes. Hij biedt wel enkele oplossingen. Zo zou er één federale wet tegen datadiefstal moeten worden gemaakt. Daarnaast zou er een algemeen bureau moeten komen waar alle informatie over datadiefstal wordt opgeslagen. Dat zou betere informatie aan consumenten, beleidsmakers en onderzoekers kunnen geven.

Nederlandse meldplicht

In Nederland onderzoekt het ministerie van Binnenlandse Zaken op dit moment een mogelijke meldplicht. Daarbij is een van de vragen of alle bedrijven lekken en problemen moeten melden, of dat een meldplicht zich beperkt tot 'belangrijke bedrijven' voor de Nederlandse infrastructuur. Het ministerie zal uiterlijk deze zomer een advies naar de Tweede Kamer sturen.

Europese kritiek

European Data Protection Supervisor Peter Hustinx pleitte in april voor een uitbreiding van de meldingsplicht naar banken, zorgverzekeraars en webwinkels. Vorige week nog nam het parlement in Groot Brittannië wetgeving aan die informatielekken strafbaar stellen wanneer dat het gevolg is van nalatigheid of roekeloosheid.

Europa loopt achter op de Verenigde Staten in het reguleren van meldingen over informatielekken. Daar ontbreekt het weliswaar aan federale wetgeving, maar een meerderheid van de staten verplicht bedrijven om consumenten in te lichten wanneer zij vertrouwelijke informatie gelekt hebben. Door die meldingsplicht is bekend dat sinds 2005 ten minste 227 miljoen bestanden van individuen zijn gestolen, per ongelijk zijn vrijgegeven of zijn verloren.