Bernold Nieuwesteeg wint Internet Scriptieprijs.

Bernold Nieuwesteeg presenteert zijn winnende scriptie in De Balie.

Bernold Nieuwesteeg presenteert zijn winnende scriptie in De Balie.

De meldplicht datalekken moet burgers vertrouwen geven in de digitale omgeving en zorgen dat burgers de controle over hun eigen gegevens hebben. Bernold Nieuwesteeg onderzocht voor zijn masterscriptie of zo’n meldplicht een effectief middel is om dat doel te bereiken. Zijn conclusie: de plicht schiet het doel voorbij. Hij won de Internet Scriptieprijs voor de beste juridische scriptie over internet.

De Internet Scriptieprijs is een initiatief van Brinkhof Advocaten en XS4ALL en wordt jaarlijks uitgereikt. Het onderwerp dat Nieuwesteeg koos voor zijn onderzoek is hoogst actueel: zowel in Den Haag als in Brussel wordt gewerkt aan een meldplicht datalekken. Nieuwesteeg onderzocht het resultaat van zulke wetgeving door het aantal meldingen te vergelijken voor en na invoering van meldplicht in Amerika, waar de plicht al wettelijk is vastgelegd. Het aantal meldingen nam toe, maar het effect was minimaal: over de onderzochte periode van 8 jaar deed slechts 0,05% van de bedrijven in Amerika een melding, terwijl uit Brits onderzoek al bekend was dat ruim 80% van ondervraagde veiligheidsmanagers met een datalek te maken krijgt.

Ondanks de wettelijke plicht lijken bedrijven ervoor te kiezen datalekken niet te melden, bijvoorbeeld vanwege imagoschade die de melding kan opleveren. In Europa zou door overlappende regelgeving bovendien de situatie kunnen ontstaan dat bedrijven soms dubbel moeten notificeren: zowel aan de Europese als aan de nationale autoriteiten. Nieuwesteeg pleitte er daarom gisteren voor het melden van datalekken aantrekkelijker te maken voor bedrijven.

Uit het onderzoek bleken overigens ook positieve effecten: de notificatieplicht lijkt bij te dragen aan de bereidheid van bedrijven te investeren in securitymaatregelen en op het samenwerken met andere bedrijven op dit vlak. Het zou bovendien kennis en awareness van consumenten over datalekken kunnen vergroten

De jury van de Internet Scriptieprijs roemde Nieuwesteeg’s empirische aanpak: hij heeft de effecten van wetgeving daadwerkelijk gemeten. Daarnaast wist hij in zijn scriptie een uitermate complex en taai onderwerp helder en goed leesbaar te beschrijven zodat het belang van het onderwerp ook voor niet-ingewijden duidelijk wordt. De jury raadt iedereen aan de scriptie te lezen.

Bernold Nieuwesteeg studeerde aan de Universiteit Utrecht en de Technische Universiteit Delft. Brinkhof Advocaten en XS4ALL organiseren de Internet Scriptieprijs jaarlijks om rechtenstudenten te stimuleren zich te specialiseren in het belangrijke rechtsgebied van het internetrecht. De uitreiking vond plaats op het Symposium Internet en Recht, op 20 februari in De Balie in Amsterdam. De winnende scriptie zal in papieren vorm worden uitgegeven door DeLex.

De winnende scriptie is hier beschikbaar.

Deel dit:

Reacties

  1. Tja, een reactie op je eigen verhaal geven. ;-) Er zitten, zoals men ziet, enkele taalfouten in, het werd in haast geschreven. Gelukkig staat de kern van het verhaal recht overeind.

    Jammer dat je een eenmaal geplaatste tekst niet meer kunt herzien. Zouden wij dan toch nog iets van Linkedin kunnen leren..?

    ;-)

  2. Grappig.

    Een zeer nuttige studie en een leesbare scriptie. En zeer zeker van belang, veel (de meeste?) bedrijven springen nogal lichtzinnig om met datalekken.

    Maar aan de andere kant, iedereen weet dat het internet wereldwijd is. En wat minder mensen zijn er mee op de hoogte dat veel data in the cloud dagelijks de wereld rondreizen, het heeft te maken met spitsuur, met beschikbare ruimte, met opslagprijs en bovendien met de afstand van datacentra naar de grootste afnemers. De EU heeft weliswaar wetgeving in de maak, maar zal nooit kunnen verhinderen dat data toch de grandzen over gaan, bij voorvbeeld naar een Amerikaanse server (zijn het goedkoopst) naar China, Timboektoe of de Opper Patagonische Neder-Alpenlaagvlakte.

    Je kunt securitylekken nooit vermijden.

    Ik refereer hierbij dan aan het grote lek bij Adobe eind september vorig jaar, dat zelfs toen het begin 5 oktober bij enkelen bekend werd nog steeds angstvallig stil werd gehouden. Het viel gelukkig mee, het zou om ‘slechts’ 2,9 miljoen persoonlijke records gaan. Later werd bekend dat het om een groter aantal ging, namelijk 38 miljoen klanten, hetgeen Adobe schoorvoetend moest toegeven. De aanvaller moest ook in staat worden geacht de gestolen creditcardnummers en de wachtwoorden te decoderen door gebruik te maken van de gestolen encryptiesleutels van Adobe, die zich in het ‘pretpakket’ bevonden.

    In Nederland werden de klanten pas één maand later verwittigd. kwam er van Adobe pas op 3 november (!) een bericht aan de gebruikers, dat werd gevolgd door een tweede bericht op 6 november (!!) waarin iedereen werd aangeraden opnieuw een wachtwoord in te stellen. Met volstrekt droge ogen communiceerde Adobe op de laatste datum :

    ‘Zoals we op 3 oktober 2013 aankondigden, hebben we onlangs ontdekt dat een of meer personen illegaal zijn binnengedrongen in ons netwerk en mogelijk toegang hebben gekregen tot uw Adobe-id en uw versleutelde wachtwoord. We hebben geen aanwijzingen voor ongeoorloofde activiteiten op uw account.’

    Dit is niet het enige geval, dit gebeurt vaker. Bijons maar ook in het buitenland. Zodat Europese maatregelen zeker op zijn plaats en zeer nuttig kunnen zijn. Maar op zich toch ook een doekje voor het bloeden zolang buiten Europa de wetten van het wilde westen heersen, de ketting die internet heet is zo sterk als zijn zwakste schakel.

    Naar mijn stellige mening moeten ook de onlangs aangekondigde en feitelijk onwettige nieuwe voorwaarden van de Nederlandse banken worden bezien.