Dat blijkt uit een rondgang van Webwereld langs betrokken organisaties en bedrijven.

ICT~Office heeft begin deze maand weliswaar een gesloten ledenbijeenkomst belegd over de aankomende meldplicht, maar dat is vooral neergekomen op het vergaren van vragen. De branchevereniging verwijst Webwereld nu deels naar het in juni al geuite standpunt. Daarin verklaart het dat "een meldplicht als zodanig niet tot betere beveiliging leidt."

De woordvoerder voegt daar aan toe dat er wel contact is met het ministerie van Economische Zaken om de Nederlandse invoering van de meldplicht te bespreken. Dit ondanks de bedenkingen van ICT~Office bij een meldplicht an sich. De invulling van de Europese richtlijn is volgens de woordvoerder nog geheel open. EZ praat hier nu over met Nederlandse isp's en telco's. De EU-landen hebben nog 18 maanden de tijd om de richtlijn op te nemen in hun nationale wetgeving.

Niet nieuw

Operator T-Mobile zegt zich niet druk te maken. "We zijn op de hoogte", reageert de woordvoerder. "Het is niet nieuw in onze ogen, maar zoomt nu in op de privacy. We volgen dit wel op de voet, want we willen natuurlijk compliant zijn. Bij ons is beveiliging van klantgegevens altijd al een prioriteit. Dat zullen wij hooguit wat aanscherpen."

Overigens is T-Mobile al eens negatief in het nieuws gekomen vanwege datalekkage. Dat betrof overijverige dataoverdracht aan de Nederlandse politie en AIVD, een dataroof in de Verenigde Staten, en vorig jaar gelekte klantengegevens in Duitsland. Datalekken overkomen wel meer bedrijven en organisaties, zoals de Lotto en telecomwaakhond Opta zelf.

Te pril

Kabelbedrijf UPC houdt zich op de vlakte. "Het is nu nog zó pril, dat reageren op de inhoud van die richtlijn nu nog niet oppurtuun is", vertelt een woordvoerder. Hij noemt nog wel de door branchevereniging ICT~Office begin deze maand georganiseerde ledenbijeenkomst over de meldplicht.

"We weten wel dat het ligt, maar pas in de zomer van 2011 komt dit, komt er iets." De UPC-woordvoerder zegt dat er nu eerst nog consultatierondes komen over de Nederlandse invulling van de Europese richtlijn. "Vele consultatierondes."

'Goed, maar veel werk'

Internetprovider XS4all is op zich niet tegen de meldplicht. "Een meldplicht is op zich geen slecht idee. Het brengt wel een hoop werk met zich mee", luidt de reactie van de woordvoerster. Zij vervolgt dat XS4all transparantie en openheid toch al belangrijk vindt. "Dus op zich zijn we vóór een meldplicht. We doen dat zelf ook; zo hebben we een privacy officer die een jaarverslag uitbrengt."

XS4All vindt het goed dat er nu meer aandacht voor datalekkage is, ook al zijn er ook nadelen. "Het kan bijvoorbeeld voor grote bedrijven extra kosten met zich meebrengen. Maar als je je security-zaken goed voor elkaar hebt niet. Het maakt ons, XS4all, niet uit hoeveel dit kost; dit moet gewoon."

Zij is ook voorstander van een bredere meldplicht: "Dat wil het Europees Parlement, en wij ook. Maar het zou ook de overheid zelf moeten omvatten." De XS4all-woordvoerder geeft aan dat de isp niet zelf bij de Nederlandse overheid lobbyt op dit vlak. Doordat de richtlijn valt onder het bredere EU-telecompakket is dat aan moederbedrijf KPN, legt zij uit.

Te beperkt

D66 Europarlementariër Sophie in 't Veld heeft eerder al aan Webwereld verteld dat de nu liggende meldplicht veel te beperkt is en tegelijkertijd ook te onduidelijk. Het eerste slaat op de beperking tot alleen isp's en telecombedrijven. "Het hadden geen regels voor de telecomsector moeten zijn, maar algemeen geldende principes," ageert zij.

Haar tweede kritiekpunt betreft de brede formulering en bureaucratische opzet van de Europese richtlijn. "Bedrijven moeten álle 'security breaches' melden. Aan 'een overheidsorganisatie', die dan moet beoordelen welke ervan serieuze 'breaches' zijn." In Nederland zou dit volgens het ministerie van Economische Zaken dan telecomwaakhond Opta zijn.

Ook de Nederlandse privacywaakhond Bits of Freedom pleit voor een bredere meldplicht. Directeur Ot van Daalen noemt de Europese richtlijn "een goede eerste stap, maar het zou meer moeten omvatten dan alleen telecomaanbieders."

'Stortvloed aan meldingen'

Telecombedrijf BT (British Telecom) is het daar mee eens. Het noemt de meldplicht voor datalekkage niet onverwacht, maar maakt zich wel zorgen over hoe het wordt geïmplementeerd in de diverse EU-lidstaten. "De omstandigheden, het formaat en de procedures voor de meldingsvereisten moeten nog worden gedefinieerd."

Ook BT vraagt zich af of dit wel praktisch wordt ingevuld; voor de bedrijven zoals BT zelf, maar ook voor de nationale wet- en regelgevers. Het bedrijf dringt er dan ook op aan de beoogde EU-doelen voor ogen te houden. "Stringente vereisten zullen leiden tot een stortvloed aan meldingen, waarvan sommige triviaal zijn, maar service providers zullen geen risico willen nemen om maar compliant te zijn."

Paniek en onverschilligheid

"Dit zal aanvankelijk leiden tot onnodig paniek zaaien, voor alle betrokkenen. Uiteindelijk zal het echter ertoe leiden dat het algemene publiek ongevoelig raakt voor de kwestie en zich dan helemaal geen zorgen meer maakt."

Verder stelt ook BT dat datalekkage niet uniek is voor de telecomsector, en dat het daar niet eens het meeste voorkomt. "Er is geen enkele reden om een meldingsplicht voor datalekkage te bepekren tot de aanbieders van publiek beschikbare elektronische communicatiediensten." Het telecombedrijf stelt dat securityproblemen in andere sectoren, zoals gezondheidszorg, financiën en retail, ook grote risico's scheppen voor de benadeelde consumenten. "De Europese Commissie overweegt ook bredere toepassing van de meldplicht."

EC wil bredere meldplicht

De huidige Eurocommissaris voor telecom- en it-zaken, Vivianne Reding, werkt hier inderdaad aan. De isp's en telecombedrijven 'mogen' simpelweg het spits afbijten. De Europese Commissie neemt komend jaar namelijk aanvullende privacyregels in behandeling die dan databescherming bieden voor internetdiensten, zoals sociale netwerken, webmail en online-bankieren.

"Diegenen die profiteren van de informatierevolutie moeten reageren op de publieke verantwoordelijkheid die daar bij hoort", aldus de Eurocommissaris. Daarnaast heeft Reding niet-virtuele data-intensieve sectoren op de korrel, zoals gezondheidszorg en financiën. Het Nederlandse kabinet steunt dit streven.

Europarlementariër In 't Veld organiseert op 2 december een bijeenkomst voor medeparlementariërs over de EU-meldplicht en de beoogde verbreding ervan. Daarbij staat onder meer op de agenda het toekennen van meer middelen aan privacytoezichthouders, en de oprichting van een EU-groep voor privacy.