Hoe aansprakelijk is gehackt kredietbureau Equifax
De hack van het Amerikaanse kredietbureau Equifax, die eind vorige week bekend werd gemaakt, krijgt een stevige juridische nasleep. Kern daarvan is: kan Equifax aansprakelijk worden gesteld?
De hack van het kredietbureau Equifax geldt als een van de meest ernstige gezien de aard van de gestolen gegevens. Van zo’n 143 miljoen Amerikanen en klanten in Canada en Groot-Brittannië zijn precies die gegevens gestolen die nodig zijn voor identificatie: burgerservicenummer (social security number), nummer van het rijbewijs, credit card-gegevens, adres en geboortedatum. Hackers kunnen die gegevens nu misbruiken voor identeitsdiefstal.
De hack werd eind vorige week door Equifax bekend gemaakt. Het bedrijf kwam er eind juli achter dat hackers de twee maanden ervoor zijn database aan het leegtrekken waren geweest. Equifax beoordeelt de kredietwaardigheid van mensen (dat is bijvoorbeeld nodig bij het afsluiten van een hypotheek) en is een van de grotere bureaus op dit gebied..
Hoe is het mogelijk?
Juist gezien die functie van Equifax roept de hack in de VS veel vragen op. Als het de voornaamste taak van een bedrijf is om aan de hand van strikt persoonlijke gegevens iemands kredietwaardigheid te beoordelen, mag dan niet worden verwacht dat zo’n bedrijf er alles aan doet om te voorkomen dat het wordt gehackt? Hoe is het dan mogelijk dat hackers anderhalve maand lang gegevens hebben kunnen tappen?
Typisch op zijn Amerikaans zijn direct na bekendmaking rechtszaken aangekondigd en onderzoeken door het parlement. Los daarvan roept ook de wijze waarop het bedrijf zelf met de bekendmaking omging veel vragen op.
Aandelen verkocht
Het bedrijf bood zijn klanten via een website de gelegenheid om na te gaan of hun gegevens waren gestolen. Maar dat vereiste dat je je burgerservicenummer invulde, bij een bedrijf dat net was gehackt. De online tool vertoonde bovendien ernstige gebreken: mensen die nepgegevens invulden kregen de mededeling dat zij slachtoffer waren van de hack. [duidend zinnetje invoegen? Waat gaat hier mis?] Let wel: Equifax had voor zichzelf vijf weken de tijd genomen om de bekendmaking voor te bereiden.
Los daarvan volgde ook een schandaaltje. Zo werd bekend dat binnen vier dagen na het ontdekken van de hack drie topbestuurders aandelen met een waarde van 1,8 miljoen dollar verkochten. Equifax zegt dat ze niet op de hoogte waren van de problemen, maar eigenlijk gelooft niemand dat.
Strenger toezicht, ook in Nederland?
De belangrijkste vraag is echter of kredietbeoordelaars, die in de moderne samenleving een sleutelrol vervullen bij het vaststellen van iemands financiële soliditeit, aan voldoende veiligheidsgaranties moeten voldoen. Zijn er audits, risico-assessments, faaltesten? Worden ze gecontroleerd door bevoegde instanties? Tot op heden is dat in de VS niet het geval: voor kredietbeoordelaars geldt een veel lichter regime van toezicht dan bijvoorbeeld bij banken het geval is. Vandaar de roep om strenger toezicht op kredietbeoordelaars.
In Nederland staat bij het Bureau Krediet Registratie de bescherming van persoonsgegevens onder toezicht van de Autoriteit Persoonsgegevens. ‘Ons toezicht is op afstand’, verduidelijkt woordvoerder Sandra Loois. ‘Het BKR beschikt over een eigen functionaris gegevensbescherming. De regel is dan dat wij ons terughoudend opstellen. Tot op het moment dat we tips krijgen over of een melding van datadiefstal, pas dan stellen we een onderzoek in. We doen dus niet aan audits en dergelijke.’
Veel verschilt de situatie in Nederland dus niet van die in Amerika. Misschien dat ophef aan de andere kant van de oceaan uiteindelijk ook hier gevolgen zal krijgen.