Als er klantgegevens bij een bedrijf worden gestolen of kwijtraken, moeten telecomorganisaties in de EU hun klanten daarvan op de hoogte brengen. De Europese Commissie publiceert nu nieuwe beleidsregels over deze meldplicht voor dataverlies (hetzij door diefstal, hetzij door slordigheid). De Commissie tekent daarbij aan dat providers die data goed versleutelen een eventuele datadiefstal niet aan klanten hoeven te melden.

Lijst met voorwaarden komt nog

De EC wil dat providers beter hun best doen om data te versleutelen om zo de privacy van Europese burgers te beschermen. Het bewaren van versleutelde persoonsgegevens heeft als voordeel voor deze bedrijven dat een inbraak niet per se bekendgemaakt hoeft te worden. Dat betreft dan de publiekelijke bekendmaking aan de consumenten wiens data het betreft.

Samen met Europees cybersecurityorgaan ENISA kijkt de EC naar de encryptiemethoden die ISP’s en telecomaanbieders hiervoor kunnen gebruiken. Daarvoor zal de Commissie een lijst met technieken publiceren. Providers die hieraan voldoen, hoeven klanten niet op de hoogte te stellen van dataverlies, zo stelt de EC in het persbericht over de verdieping van de meldregels.

Versleuteling = geen onthulling

“Als er bij een bedrijf dat dergelijke technieken toepast een inbreuk op gegevens plaatsvindt, hoeft het de abonnee daarvan niet op de hoogte te brengen", aldus de vrijbrief voor versleuteling. "Aangezien de persoonsgegevens van de abonnee daarbij niet daadwerkelijk worden onthuld”, luidt de redenatie.

De EC meldt er niet bij wie dit oordeel moet vellen en wat de minimale versleutelingseis zal worden. In het verleden zijn al vaker versleutelde persoonsgegevens verdwenen bij datadiefstallen. Hashes van wachtwoorden waar dan geen salt (toevoeging van willekeurige data) op is toegepast, zijn zo uit te lezen. Webwereld heeft vragen uitstaan bij de Europese Commissie over de versleutelingseisen.

Binnen 24 uur inlichten

De vrijwaring van melden geldt naar consumenten toe, maar niet naar overheden. De nieuwe richtlijnen eisen dat internet- en telecomaanbieders binnen 24 uur van de ontdekking van dataverlies de betrokken overheidsdienst inlichten. In Nederland is dat het NCSC (Nationaal Cyber Security Centrum), wat valt onder het ministerie van Justitie en Veiligheid. Een bedrijf moet bij zo'n melding ook aangeven welke maatregelen er inmiddels zijn genomen of nog genomen gaan worden naar aanleiding van de inbraak.

Bij het beoordelen of de diefstal al dan niet bekend moet worden gemaakt, speelt ook mee welke soort gegevens is verdwenen. De getroffen bedrijven moeten daar rekening mee houden. “In de telecomsector gaat het met name om financiële informatie, locatiegegevens, internetlogbestanden, webbrowsegeschiedenis, e-mailgegevens en uitgesplitste lijsten met gesprekken”, legt de EC uit in de richtlijn.