Ofre for hacking risikerer bøter

EU forbereder nye, skjerpede bestemmelser.

Det kan bli slutt på å feie alvorlige datainnbrudd under teppet, eller forsøke å skjule angrep som myndigheter eller bedrifter har vært utsatt for.

EU forbereder nå en ytterligere innskjerping av sitt e-privacy-direktiv (2002/58/EC).

Etter planen vil det bli forbudt å ikke informere kunder, dersom personopplysningene havner på avveie, for eksempel etter et hackerinnbrudd.

Allerede i sommer ble en slik bestemmelse gjort gjeldende for telekom-aktører og leverandører av elektroniske kommunikasjonstjenester. (Se også: Du får beskjed hvis persondata lekkes)

EUs mektige justiskommissær Viviane Reding signaliserte i sommer at at bestemmelsen skal utvides til å gjelde alle virksomheter som håndterer personopplysninger.

- En kommende lov ventes å gjøre det kriminelt for både bedrifter og myndigheter å ikke melde ifra hvis sensitive opplysninger lekker ut. I klartekst betyr det at bedrifter som har blitt hacket må være åpne om det, skriver ComputerSweden.

Ansvarliggjør virksomheter

Riset bak speilet blir bøter for virksomheter som ikke følger opp, ifølge den svenske nettavisen.

Hensikten med lovskjerpelsen er dels at myndighetene raskt skal få informasjon om alvorlige datalekkasjer. I tillegg skal bestemmelsen fungere preventivt ved at virksomheter iversetter tiltak for å redusere risiko for innbrudd.

Noe av bakteppet er de mange profilerte hackerangrepene som har preget mediebildet det siste året. Sony stiller kanskje i en særklasse i forhold til omfang, med sin skandale der persondata tilhørende mer enn 100 millioner kunder ble stjålet.

Det antas imidlertid å være store mørketall på området, ettersom full åpenhet om lekkasjer kan medføre et betydelig tap av omdømme for rammede bedrifter.

- Viktigst å si ifra til oss

Datatilsynet sier til digi.no at de ønsker en skjerping av e-privacy-direktivet velkommen. Samtidig er de ikke like opptatt av at virksomheter automatisk må avsløre datalekkasjer til kundene.

De mener det er langt viktigere at de som tilsynsmyndighet blir informert av rammede bedrifter, for deretter å gjøre en avveining av hvilken reaksjon som er passende.

- Vi mener at det sentrale er at virksomheter har en klar straffesanksjonert rapporteringsplikt til Datatilsynet hvis personopplysninger kommer på avveie. Det kan være litt fristende for noen å la være å informere oss. Vi ønsker å få inn i norsk lovgivning at vi kan gi pålegg til virksomheter om at de informerer kunder, sier informasjonsdirektør Ove Skåra til digi.no.

Datatilsynet kan i dag bøtelegge virksomheter ved manglende rapportering av lekkede personopplysninger. Dette sanksjonsmiddelet har de imidlertid aldri tatt i bruk.

    Les også:

Til toppen