De Europese Commissie voert nieuwe regels in die bepalen wat telecomaanbieders en ISP’s moeten doen bij verlies of diefstal van klantgegevens. De Commissie wil met de EU-regulering re voor zorgen dat burgers in elke EU-lidstaat gelijk behandeld worden en dat organisaties die in meer EU-landen actief zijn, niet aan diverse regels hoeven te voldoen.
Vicevoorzitter van de Europese Commissie Neelie Kroes: "De consumenten moeten weten wanneer hun persoonsgegevens gevaar hebben gelopen, zodat zij maatregelen kunnen treffen. Bedrijven willen gemakkelijkere regels. Met deze nieuwe praktische maatregelen zorgen wij daarvoor."
Al sinds 2011 moeten telecomaanbieders en ISP’s aan een algemene verplichting voldoen | die inhoudt dat zij de nationale autoriteiten en abonnees moeten inlichten bij inbreuken in verband met persoonsgegevens. De Commissie heeft nu een verordening met meer gedetailleerde regels uitgevaardigd.
De regels zijn geïntegreerd in een verordening van de Commissie die rechtstreeks van toepassing is, niet in nationaal recht hoeft te worden omgezet en twee maanden na de bekendmaking ervan in het Publicatieblad van de Europese Unie van kracht wordt. Bedrijven moeten onder meer aan de volgende verplichtingen voldoen:
- De bevoegde nationale autoriteit binnen 24 uur na opsporing van een incident inlichten, om de gevolgen te beperken.
- Aangeven welke informatie betrokken is bij verlies, diefstal of hack en welke maatregelen het bedrijf heeft genomen of nog zal nemen;
- Bij het beoordelen of klanten op de hoogte gesteld worden, moet er gekeken worden naar het soort gegevens dat verloren of gestolen is (vij telecomaanbieders o.m. financiële informatie, locatiegegevens, internetlogbestanden, webbrowsegeschiedenis, e-mailgegevens en uitgesplitste lijsten met gesprekken);
- Bij de kennisgeving aan de bevoegde nationale autoriteit moet er een gestandaardiseerd format worden gebruikt (bijvoorbeeld een onlineformulier dat in alle EU-lidstaten hetzelfde is).
- De Commissie wil bedrijven ook aanmoedigen om persoonsgegevens te versleutelen. De Commissie zal daarom samen met het Enisa (Europees Agentschap voor netwerk- en informatiebeveiliging) een indicatieve lijst publiceren met beschermingsmaatregelen, zoals versleutelingstechnieken, waarmee de gegevens voor onbevoegden onbruikbaar worden. Als er bij een bedrijf dat dergelijke technieken toepast een inbreuk op gegevens plaatsvindt, hoeft het de abonnee daarvan niet op de hoogte te brengen, aangezien de persoonsgegevens van de abonnee niet daadwerkelijk worden onthuld.
