Met de recente Equifax inbreuk op de gegevensbeveiliging die 145,5 miljoen mensen in gevaar brengen, is er veel discussie over cyber verordeningen. Equifax kreeg veel kritiek over hoe het behandeld het incident en voor hoe lang het duurde om mensen te informeren dat hun gegevens toegangen door hackers zijn gegaan.
Europa’s nieuwe regelgeving
De nieuwe algemene gegevens bescherming verordening, GDPR in het kort, dat gaat in werking in mei 2018, nieuwe wetten zal invoeren op hoe de persoonlijke gegevens en gegevens overtredingen moeten worden behandeld. Het wil controle over hun persoonsgegevens teruggeven aan de burgers. Het er ook voor zorgen dat mensen geïnformeerd zal worden over een schending kort na het incident plaatsvindt.
Bedrijven zullen worden verplicht om het melden van een incident binnen 72 uur na ontdekking. Niet naleven van dit zal leiden tot ze hoeven te betalen een fijne evenaren tot 4% van de mondiale inkomsten of 20 miljoen euro. En het is niet alleen Europese bedrijven die zullen moeten handelen in overeenstemming met deze verordeningen. Bedrijven buiten Europa zal ook moeten verplichten als zij omgaan met gegevens van de Europese burger.
Dit zorgt ervoor dat sommige bedrijven van de American te herzien hoe zij omgaan met klantgegevens. En zodra ze met een infrastructuur die kunnen omgaan met klantgegevens in overeenstemming met het Europees recht komen, het is onwaarschijnlijk dat ze American burger gegevens anders zal behandelen.
De nieuwe verordeningen zijn niet zonder vragen. Het tijdsbestek van 3 dagen heeft geleid tot enige verwarring over wanneer precies de tijd tikken zal beginnen. En het wordt er ook op gewezen dat gegevens overtredingen worden niet altijd bewaard geheim vanwege eigenbelang.
Waarom vertraging vrijgeven van de schending van de gegevens gebeurt
Er zijn heel wat redenen op waarom zou een inbreuk op de gegevensbeveiliging worden ingehouden van het publiek voor enige tijd kan, en het niet uitsluitend vanwege een vennootschappelijk eigenbelang. Het politiebureau dat met het bedrijf samen werkt kan niet wilt verpesten het onderzoek door te onthullen te veel te vroeg. Of de volledige omvang van het incident niet bekend kan zijn, en bedrijven willen wachten totdat ze alle feiten hebben voordat ze paniek veroorzaken. Maar aan de andere kant, als uw persoonlijke gegevens in een inbreuk op de gegevensbeveiliging, hebt het recht te weten.
“Mijn algemene ervaring is het duurt meerdere dagen of weken om echt je armen rond wat er is gebeurd en om dit evenwicht tegen wat de tegenstander gaat doen met de gegevens,” vertelde Michael Daniel, voorzitter van de Alliantie van Cyber Threat, NBC News. “Het rendement op de waarde van de gegevens neemt snel af, maar aan de andere kant leer je ook heel vaak veel meer wanneer je echt graven in de forensische geneeskunde.”
Dat wil niet zeggen dat eigenbelang niet speelt een rol in deze. Hooggeplaatste Equifax leidinggevenden, bijvoorbeeld, 2 miljoen dollar aan voorraden verkocht voordat het incident schending werd publiekelijk gemeld. En een grootschalig incident zou ruïneren een reputatie voor een lange tijd, zo niet permanent, dus niet rapportage helemaal zou gunstig zijn voor hen.
Met de manier waarop zal het, gegevens overtredingen zullen meer en meer gemeengoed geworden, en iets gedaan moet worden. En dat waarschijnlijk gaat gepaard met duidelijke regels als het gaat om schendingen. Immers, is het onze gegevens die in het midden van dit alles.