Voldoen aan Europese datalek-wetgeving nu al mogelijk

  1. 27 mei 2015
  2. 0 reacties

Op Europees niveau is nieuwe regelgeving in de maak over de meldplicht bij het lekken van data. Er wordt momenteel hard gewerkt aan de General Data Protection Regulation. In het Nederlands: de Algemene verordening gegevensbescherming. In de verordening staat een algemene verplichting tot het melden van datalekken. Deze nieuwe Europese verordening zou boven onze wet gaan. Dus ook boven de nieuwe Nederlandse wet die in de maak is. Technologie van Nederlandse bodem biedt nu al de bescherming welke organisaties nodig hebben om zich te wapenen tegen datalekken.

Michael van der Sman

Het niet melden kan behoorlijk worden bestraft op grond van de nieuwe verordening: ‘A fine with a minimum of 450.000 EUR or up to 5% of the annual worldwide turnover in case of an enterprise, whichever is greater’. De nieuwe regelgeving is in de maak. Dit betekent echter niet dat de verordening ook morgen van toepassing is in Nederland. Een Europese verordening heeft rechtstreekse werking, wat zoveel betekent als dat de regelgeving niet eerst omgezet hoeft te worden in een Nederlandse wet. Wel krijgen de lidstaten na vaststelling van de verordening eerst twee jaar de tijd om de eigen wetgeving in lijn te brengen met een nieuwe Europese verordening. Naar verwachting praten we dan over 2016.

Wanneer gaan die twee jaar dan in? Op 12 maart 2014 heeft het Europese Parlement vóór de hervorming van de gegevensbescherming gestemd. Wat gebeurt er nu verder? ‘To become law the proposed Regulation has to be adopted by the Council of Ministers using the ‘ordinary legislative procedure’ (co-decision)’. Hoe deze medebeslissingsprocedure (codecisie) er precies uitziet, is vrij complex. Als alles heel voorspoedig verloopt, kan de verordening in 2016 aangenomen worden.

De vraag is nu: heeft het zin om onze (afwijkende) meldplicht op te tuigen en in te voeren om de tijd te overbruggen tussen nu en de inwerkingtreding van de meldplicht? Zowel de huidige richtlijn (95/46/EC) als de toekomstige verordening maken namelijk geen onderscheid tussen lekken met of zonder ernstige nadelige gevolgen. Dit onderscheid is wel opgenomen in het wetsvoorstel.

Nederlandse technologie

Met technologie van KeyTalk zijn organisaties in staat om zich te wapenen tegen een aantal hardnekkige digitale aanvallen die de grondslag kunnen zijn voor deze zogenaamde datalekken. Het in Nederland gevestigde bedrijf is actief met geautomatiseerde distributiesystemen van zogeheten ‘short lived digital certificates'. Deze technologie geeft een significante verbetering van de online security, met name op het gebied van bescherming tegen phishing, sniffing, anonieme brute force-aanvallen en man-in-the-middle bedreigingen. Bovendien biedt KeyTalk hiermee mogelijkheden om de kosten van authenticatie te verlagen, terwijl het gebruik voor zowel de enduser als de administrator veel eenvoudiger wordt.

“Certificaat-technologie met sterke cryptografische sleutels zoals te vinden op smartcards is nog steeds de meest veilige manier om data-in-motion en toegang tot netwerken te beschermen tegen niet geautoriseerde personen”, aldus Michael van der Sman, CIO bij KeyTalk. “Het grote nadeel was altijd het beheer: aanmaken, (her)uitgifte en revocatie. Vooral het tijdig melden van verloren certificaten met bijbehorende private key om misbruik en daarmee datalekken tijdig te voorkomen, blijft voor beheerders een heikel punt. Door gebruik te maken van kortlevende certificaten met sterke asymmetrische sleutels, hoef je je als bedrijf geen zorgen te maken over tijdige melding van verlies. Het certificaat verloopt immers al voordat interne procedures vereisen dat je dit meldt, of voordat Certificate Revocation Lists worden geupdate.”

Het kostte KeyTalk tien jaar om deze technologie tot het huidige niveau te ontwikkelen. Oorspronkelijk was deze technologie slechts beschikbaar voor banken die hun online omgeving optimaal wilden beveiligen. Vandaag de dag is KeyTalk beschikbaar voor alle organisaties die hun IT-security goed op orde willen hebben. Met de door het bedrijf ontwikkelde app transformeert een organisatie alle servers, smartphones, tablets, desktops, laptops en Internet of things devices in wat het noemt ‘trusted devices’.

KeyTalk wordt gebruikt bij klanten zoals ForFarmers, Canon Oce en Marel. Bij deze organisaties is het essentieel dat de online security optimaal is. Deze organisaties zijn mede hierdoor compliant als het gaat om maatregelen met betrekking tot deze nieuwe Europese wetgeving.

Carmen Portocarero, CEO van KeyTalk: “Als jurist en in mijn rol van general councel weet ik wat er binnen een organisatie komt kijken als het gaat om privacy, data security en dergelijke. Na mijn functie als directeur bij AT&T vind ik het als CEO van KeyTalk een uitdaging om organisaties te ondersteunen op het raakvlak van technologie & wetgeving. De technologie van KeyTalk gaat naar mijn mening een heel grote rol spelen in het kader van de EU-regelgeving.“