Wie in Nederland een datalek constateert moet daarvan binnen 72 uur melding maken. Die regel geldt voor elke type organisatie. Dat klinkt kort, maar in Amerika gaat voor een type data 36 uur, de helft dus, gelden
72 uur en geen discussie
De Autoriteit Persoonsgegevens legt het helder uit op de website. Een datalek moet worden gemeld en wel binnen 72 uur. Door de uren vast te leggen voorkomt men discussies over de vraag of het alleen geldt voor werkdagen en wat de status van erkende feestdagen is. Een dergelijke discussie is in het verleden een paar keer gestart, maar de toezichthouder is daar nooit in mee gegaan.
Die stugge houding is goed. Iedereen weet waar hij aan toe is. In de boetebesluiten die de AP heeft gepubliceerd staat ook elke keer te lezen of een partij tijdig, te laat of helemaal niet heeft gemeld. In die twee laatste gevallen kan dat leiden tot het naar boven afronden van de boete. Iedere specialist die organisaties bijstaat in het geval van een datalek zal daarom aansturen op het tijdig melden.
Ransomware
Toen die 3x 24 uur werd ingesteld zag de wereld er nog iets anders uit. Bij datalekken dachten overheid en toezichthouder eerder aan een verloren laptop of verkeerd beveiligde server. De omvang van ransomware was veel geringer. In 2021 is ransomware helaas alom aanwezig. De schade die dat veroorzaakt is bekend. Hopelijk weet de lezer ook dat een ransomware besmetting als datalek gemeld moet worden.
De situatie die door ransomware kan ontstaan is anders dan toen de meldplicht datalekken werd ingevoerd. Dat geldt in ieder geval voor in Nederland, de EU en Amerika. We weten inmiddels ook dat de cybercriminelen die ransomware aanvallen uitvoeren ook heel snel tot het gedeeltelijk publiceren van de buit over gaan. Daarmee willen ze de slachtoffers verder onder druk zetten. Consequentie van die afpersing is dat de data van slachtoffers veel sneller misbruikt kan en zal worden dan voorheen het geval is.
72 uur te lang
Dat gaat niet voor alle data op, of bij elk type aanval. De ervaring leert dat vooral data nodig voor e-commerce snel online wordt gezet en vervolgens misbruikt. Een meldplicht van 72 uur is voor dat soort data te lang.
De Amerikaanse toezichthouders voor het bankwezen (vergelijkbaar met de AFM en DNB) hebben daarom in april van dit jaar al gehint op het inkorten van de termijn om “financiële” datalekken te melden. Nu zes maanden later is die hint omgezet in wetgeving. Dat is dus heel snel gegaan. Amerikaanse banken en verzekeraars moeten per volgend jaar binnen 36 uur melden.
Meldplicht: er is meer dan privacy
Weet daarbij dat deze instellingen maar minimaal geprotesteerd hebben tegen deze forse aanscherping. Zij hebben de afweging gemaakt dat de meerkosten van snel kunnen rapporteren opwegen tegen de kans op claims en boetes als te laat wordt gemeld. De Amerikaanse regel is ook niet bedoeld om de privacy van burgers te beschermen. Dit is er alleen maar te zorgen dat minder bankrekeningen worden geplunderd.
De boodschap die Washington afgeeft is dat er meer in het geding bij ransomware dan privacy. Dat wordt hier nog wel eens vergeten, maar wie weet komen de Europese toezichthouders voor het betaalverkeer ook tot conclusie dat een aparte meldplicht nodig is.