Nieuwe Europese regulering verplicht telecombedrijven om hun gebruikers binnen de 24 uur op de hoogte te stellen van eventuele data-inbreuken.


Hoe heeft technologie een impact op je business?
Ontvang elke week het zakelijk IT-nieuws rechtstreeks in je inbox!



De Europese Commissie heeft nieuwe regels opgelegd voor telecombedrijven die slachtoffer worden van een data-inbreuk. Er moet snel en duidelijk worden gecommuniceerd over welke gegevens er zijn gelekt.

De nieuwe maatregelen hebben in de eerste plaats tot doel om de aanpak bij data-inbreuken te harmoniseren over de hele Europese Unie, zodat alle klanten in Europa een gelijkaardige service genieten. Voor bedrijven die in meerdere landen actief zijn, wordt het zo eenvoudiger om de impact over de verschillende landen heen te overzien.

Internetproviders of operatoren die slachtoffer worden van een inbreuk krijgen 24 uur de tijd om de nationale privacycommissie te verwittigen. Dat moet gebeuren in een gestandaardiseerd formaat. Het type en de omvang van de inbreuk moet worden aangegeven, welke gegevens er mogelijk zijn gelekt en welke maatregelen er werden getroffen.

Kunnen deze gegevens niet binnen de 24 uur worden verzameld, dan moet het telecombedrijf toch al een rapport met initiële informatie voorleggen. Binnen de drie dagen na de inbreuk moet dan een meer gedetailleerd verslag volgen.

Klanten (bedrijven en consumenten) zullen op de hoogte worden gesteld van de inbreuk als blijkt dat de privacy van hun persoonlijke gegevens werd bedreigd. De telecombedrijven moeten dan duidelijk aangeven over welke informatie het gaat (betalingsgegevens, adressen, e-mails, internetgeschiedenis…).

De telecombedrijven mogen afzien van deze meldingsplicht aan de klant wanneer ze kunnen aantonen dat ze speciale maatregelen hebben getroffen – zoals encryptie – om de gegevens te beschermen. De Commissie is van plan om binnenkort een lijst met geschikte encryptietechnieken te publiceren.

Europese internetproviders en operatoren hebben al sinds 2011 de verplichting om de autoriteiten en klanten te verwittigen bij een data-inbreuk. De nieuwe regels stroomlijnen de manier waarop dat moet gebeuren, zodat men ook op Europees niveau actie kan ondernemen.

De nieuwe regels gelden op Europees niveau en moeten niet meer omgezet worden naar nationale wetgeving. Ze treden twee maanden na de publicatie in het EU Office Journal in werking.