Meldplicht privacylekken ook voor Twitter en Apple

Dat is een van de uitvloeiselen van de voorgestelde Directive on Network and Information Security van de Europese Commissie. De Directive NIS moet een richtlijn vormen voor lokale wetgeving in de Europese Unie. De bedoeling is dat na consultatieronden en behandeling in het Europees Parlement de Directive over anderhalf jaar van kracht wordt.

De meldplicht geldt voor bedrijven in de sectoren met kritieke infrastructuur, zoals energie, water en ICT. Maar, zo vindt de Europese Commissie, als er wat loos is met de appstores van Google of Apple, of de online marktplaatsen van eBay, de clouddiensten van Microsoft, de zoekdiensten van Google of het online bankieren, moet dat onverwijld worden gemeld aan de “nationale autoriteit die daarvoor is aangewezen", vermeldt het voorstel van Eurocommissaris Neelie Kroes.

Ook lekken van medische dossiers melden

Verder zullen onder de meldplicht vallen de infrastructuur voor het delen van medische dossiers (in Nederland het Landelijk Schakelpunt LSP), de transportsector (vliegvelden en -maatschappijen, de NS) en overheden. In Nederland is er al een meldplicht voor de telecomsector en zijn er plannen voor uitbreiding naar vijf kritieke sectoren, zoals de energiesector. Voor de telecomsector is de OPTA de aangewezen organisatie om lekken van persoonsgegevens te melden.

De lidstaten van de EU gaan die informatie vervolgens met elkaar delen, maar openbaarheid van de lekken is niet verplicht. Dat wordt verder overgelaten aan de overheden van de lidstaten zelf. Met de Directive on NIS wil de Europese Commissie de “georganiseerde digitale criminaliteit" opsporen en bestrijden, de grondrechten, democratie en rechtstaat beschermen. Alle lidstaten moeten een strategie voor netwerk- en informatiebeveiliging vaststellen en een “bevoegde instantie" aanwijzen die incidenten en risico's op dit gebied moeten voorkomen en bestrijden.