Veiligheidsincidenten bekendmaken?
Begin november kondigde de Europese Commissie een nieuw pak maatregelen aan om de telecommarkt verder te hervormen. Naast maatregelen om de markt transparanter en competitiever te maken, wil de Commissie de operatoren (de ISP’s en de leveranciers van vaste en mobiele telefonie) verplichten om de nationale autoriteiten in te lichten over elk belangrijk veiligheidsincident op hun netwerk. De nationale autoriteiten kunnen dan eventueel het publiek verwittigen.
Nieuw is deze verplichting niet. Een richtlijn uit 2002 verplichtte de operatoren al om hun abonnees te verwittigen als er bijzondere veiligheidsrisico’s dreigen te ontstaan, hoewel deze verplichting in de praktijk dode letter bleef. Het voorstel van de Commissie wil nu dus dat ook de nationale autoriteiten ingelicht worden wanneer de veiligheid of de integriteit van het netwerk “aanzienlijk” geschonden werd.
De verplichting om het publiek in te lichten, vertrekt van het uitgangspunt dat klanten recht hebben op informatie. Bovendien zou deze verplichting de operatoren ertoe aanzetten om meer aandacht te besteden aan veiligheid, om zo gênante publieke aankondigingen te vermijden. Beide uitgangspunten kunnen echter bekritiseerd worden.
Uiteraard hebben klanten het recht om te weten dat zij een bepaald risico hebben gelopen en dat hun datacommunicatie werd onderschept. Alleen zo kunnen zij immers gepaste maatregelen nemen. Maar welke maatregelen? Ik stel mij de situatie voor waarbij een brave huisvader een brief in de bus krijgt met de aankondiging dat zijn dataverkeer twee weken geleden gedurende enkele uren onderschept werd door onbekenden. Moeten er nu creditcards worden geannuleerd, paswoorden worden gewijzigd, en allerhande instanties worden verwittigd?
Dit lijkt mij – vooral bij consumenten – alleen maar aanleiding te geven tot onnodige paniek, omdat zij de precieze impact van het veiligheidsincident moeilijk zullen kunnen inschatten. Afhankelijk van de frequentie waarmee de veiligheidsincidenten zullen bericht worden, bestaat bovendien de kans (enigszins paradoxaal) dat het publiek na een tijd ongevoelig wordt voor deze berichten.
Ook de premisse dat operatoren door de nieuwe maatregel meer aandacht zullen hebben voor de veiligheid van hun netwerk, lijkt mij voor kritiek vatbaar. De meeste veiligheidsrisico’s lijken zich immers niet voor te doen bij telecomoperatoren. Een analyse van de veiligheidsincidenten van de voorbije maanden, leert dat het vooral softwareproducenten en ‘gewone’ bedrijven zijn bij wie de veiligheid ondermaats is. Daar worden klantgegevens via onbeveiligde e-mails doorgestuurd en wordt dagelijks met niet-geëncrypteerde USB-sticks met gigabytes aan bedrijfsgevoelige informatie buitengewandeld.
Als advocaat ben ik alvast benieuwd hoe de telecomoperatoren zullen omgaan met de nieuwe maatregel. Goede communicatie zal eens te meer belangrijk zijn om reputatieschade en schadeclaims te vermijden. In de softwarewereld lijkt alvast een consensus gegroeid te zijn waarbij producenten niet (al te sterk) bekritiseerd worden voor veiligheidsgaten als zij tijdig een patch uitbrengen. Het is niet duidelijk of rechtbanken dezelfde vergevingsgezindheid zullen hebben voor de telecomoperatoren.
Voor alle duidelijkheid: de maatregel is nog geen wet. Voorlopig is het slechts een voorstel van de Europese Commissie. De verplichting is dus nog niet voor morgen.
Prof. Dr. Patrick Van Eecke is advocaat gespecialiseerd in IT-recht bij DLA Piper. Hij doceert tevens IT-recht aan Queen Mary University, Londen, en aan de Universiteit Antwerpen.
