De gedachte achter een meldplicht is een stok voor organisaties die data verliezen, of dat nou zelf per ongeluk is of expres en eventueel door een ander. Een stok die enerzijds prutsers op het schavot plaatst, maar anderzijds ook aanspoort om beter te presteren. Om maar niet op het schavot te komen. Niet alleen vanwege de slechte uitstraling daarvan, maar vooral natuurlijk vanwege het klanten- en dus geldverlies wat daaruit voortkomt.

De Europese Unie heeft de meldplicht voor datalekkage nu rond. Formeel nog ondertekenen en bezegelen, wat dit jaar nog gaat gebeuren. En dan in elk van de lidstaten doorvoeren, wat achttien maanden mag duren.

Dat klinkt allemaal heel goed en ambitieus, maar het huidige plan zit vol gaten en tekortkomingen.

Onduidelijk

Onbekend maakt onbemind, maar in dit geval ook onduidelijk voor de praktijk. De meldplicht geldt voor aanbieders van openbare elektronische communicatienetwerken en bijbehorende diensten, de transportnetwerken dus. Dus isp's en telco's, maar hoe zit het dan met virtuele operators? Die bieden wel elektronische communicatie, maar over andermans netwerk. En voip-diensten, vallen die eronder? En hosters, cachers en storage-providers?

Ook is het nog onduidelijk hoe het zit met bepaalde diensten die gebruik maken van telecominfrastructuur, zoals mobiel betalen. Dat is formeel geen 'bijbehorende dienst' van de telecomaanbieder, maar iets van een bank, of een samenwerkingsverband zoals iDeal. Dus lekkage van gevoelige betalingsgegevens of inlogcodes valt schijnbaar niet onder de meldplicht.

Zo zijn er nog meer vaagheden, vragen en mogelijke mazen in dit vangnet voor privacybescherming. Een en ander is ook te 'danken' aan het feit dat de meldplicht valt onder het brede ePrivacy Directive, wat op zijn beurt weer is meegenomen in het alomvattende nieuwe Telecompakket van de EU. Een pakket Europese richtlijnen en wetten waar ook de omstreden three strikes-wet op is meegelift; geamendeerd, weggestemd, verwaterd en mogelijk op nationaal niveau toch weer toelaatbaar.

Alleen isp's en telco's

Er is nergens overtuigend beargumenteerd waarom alleen de telecomsector aan de meldplicht moet. Het lijkt bewijs van een generatiekloof tussen beleidsmakers en de internetrealiteit anno 2009. De aankomende EU-meldplicht voor datalekken geldt namelijk voor de telecompartijen, maar niet voor de aanbieders die bovenop hun netwerken diensten leveren. Zij zijn in de ogen van de EU slechts de gebruikers van de transportnetwerken. Pardon? Ok, je moet ergens beginnen. Maar het idee van internet = telecommunicatie = telecombedrijven is, op zijn zachtst gezegd, nogal achterhaald.

Geen focus op data El Dorado's

Bovendien is het niet alleen oneerlijk voor de isp's en telco's, maar het slaat de plank flink mis. Waar bevinden zich tegenwoordig de grootste rijkdommen aan privacygegevens? Niet bij de telecombedrijven en internet providers. Nee, de goudmijnen vol privacygevoelige gegevens zitten de online-dienstverleners. Denk aan webmailaanbieders, sociale netwerken, advertentienetwerken en internetpartijen als Google.

Maar vergeet ook de financiële instellingen niet. En dan hebben we het niet alleen over de banken, zeg maar 'aan de achterkant'. We hebben het ook over de webwinkel 'aan de voorkant' én alle partijen daar tussenin. Want het zijn de schakels van de keten die minstens zo interessant zijn. Neem een betalingsverwerker, zoals in de Verenigde Staten het bedrijf Heartland. Die is begin dit jaar flink te grazen genomen. Door een professionele ploeg met veel meer op de kerfstok, bleek afgelopen zomer. Een bank, een webwinkel, maar ook zo'n tussenpartij vallen niet onder de meldplicht.

Overheid buiten schot

He, wie is er ook zo'n grote vergaarder van informatie? De overheid zelf. Die ook niet valt onder de meldplicht voor datalekkage. Terwijl politie, Justitie, AIVD en ministeries ook wel usb-sleutels en complete laptops laten slingeren. Of pc's aan de straat zetten. Of serverkasten in gedeelde serverruimtes open laten staan. Of privédata misbruiken, ironisch genoeg in een privacycampagne. Of websites niet goed beveiligen. Maar er is niets aan de hand, er is geen data gelekt, alles is veilig, zegt de overheid zelf.

Europarlementariër Sophie in 't Veld hekelt het buiten schot blijven van de overheid zelf. "Mensen staan erg wantrouwend tegenover datavergaring door bedrijven, maar de overheid doet het veel meer. Daarvoor put het ook uit informatiebronnen van derde partijen. Dus de overheid heeft ook niet echt belang bij een brede meldplicht."

Zij schetst ook het scenario dat opsporingsinstanties bij bedrijven aankloppen voor informatie, die de ondernemingen bij wet niet zomaar mogen geven. Onder het mom van vage argumenten als 'terroristische dreigingen' of 'nationale veiligheid' worden gegevens dan opgevraagd en vaak toch gegeven. Noch overheid noch bedrijven willen natuurlijk daar de mond over opendoen.

Paranoïde gedachte? Nou, dat valt helaas wel mee. We weten namelijk allang dat Nederland internationaal aftapkampioen is, maar het aantal internettaps blijft geheim "in het belang van de opsporing en de staatsveiligheid". Of nee, toch niet, 'het is niet te meten'. Klinkt erg betrouwbaar en consistent...

Niet met billen bloot

Kortom, een meldplicht met zeer beperkt bereik en dus minimale 'naming and shaming' van prutsers op het gebied van privacybescherming en databewaking. En dat op het schavot zetten is echt niet alleen voor azijnpissers die met het beschuldigende vingertje willen wijzen. Het is ook juist voor de preventieve werking die ervan uitgaat.

In de Verenigde Staten is er nog het extra dwangmiddel van de aanklaagcultuur, maar in Europa kan de consument in ieder geval met de voeten stemmen. Als een bedrijf je data niet goed beschermt, dan stap je over. Dat je daar pas achter komt als die data op straat ligt is helaas praktisch onoverkomelijk.

Naming en shaming dient dus het nobele doel om de rotte appels er uit te halen en bedrijven te dwingen hun databescherming serieus te nemen. Of straffe van eeuwige hoon en een exodus van klanten. Dus kom maar op met die meldplicht, maar dan wel voor álle organisaties die data verwerken, privaat én publiek.