Na een reeks datalekken begin 2005 leek het Amerikaanse Congres klaar om snel verder te gaan wetgeving die bedrijven zou verplichten om klanten op de hoogte te stellen wanneer hun persoonlijke informatie was verwijderd gecompromitteerd.
Nu, meer dan een jaar na datalekken bij ChoicePoint Inc. en LexisNexis een nationaal debat op gang brachten over identiteitsdiefstal en gegevensbeveiliging, de tijd dringt voor het Congres om een wet goed te keuren voordat het dit jaar zijn zaken beëindigt. Sommige voorstanders van een nationale wet op de melding van inbreuken zeggen dat het onwaarschijnlijk is dat het Congres tegen die tijd een wet kan aannemen.
Wetgevers hebben sinds begin 2005 meer dan 10 wetsvoorstellen ingediend over de melding van datalekken. De rekeningen verschillen op verschillende manieren, waaronder verschillende vereisten over wanneer een geschonden bedrijf dat zou moeten doen klanten informeren en of consumenten hun kredietrapporten moeten kunnen bevriezen na een inbreuk.
Afgezien van de verwarring over de verschillen in de rekeningen, hebben vijf congrescommissies de jurisdictie opgeëist over enkele van de rekeningen voor datalekken. "Het is zeker een populaire en pro-consumentenkwestie om aan te pakken", zegt David Sohn, een personeelsadviseur bij het Center for Democracy and Technology, een belangenbehartigingsgroep voor privacy en burgerrechten. "Het is moeilijk te zien hoe het Congres alle rekeningen zal verzoenen."
Eind 2005 leek een wet op de melding van datalekken zo goed als zeker; zelfs gegevensmakelaars zoals ChoicePoint pleitten voor een federale wet die de kennisgevingswetten van de staat zou voorkomen die overal in de VS opdoken. Ongeveer 23 staten hebben hun eigen meldingswetten aangenomen, en voorstanders van een federale wet zeggen dat interstatelijke bedrijven moeite zullen hebben om te voldoen aan tientallen wetten.
Twee wetsvoorstellen voor het melden van datalekken zijn door de Senaatscommissies gegaan en wachten op actie op de Senaatsvloer, en twee andere wetsvoorstellen wachten op actie op de Tweede Kamer. Een woordvoerder van senator Dianne Feinstein, een Californische democraat en vroege pleitbezorger voor een nationaal datalek kennisgevingswet, zei dat hij nog steeds hoopt dat een wet dit jaar door het Congres zal komen, maar andere minder optimistisch.
Zowel het Huis als de Senaat hebben zich op 1 oktober gericht. 6 wordt voor een jaar verdaagd, waardoor wetgevers ongeveer een maand de tijd krijgen om campagne te voeren voor de algemene verkiezingen in november. Beide wetgevende kamers zullen het grootste deel van augustus buiten zitting zijn, en nationale kwesties zoals immigratiehervorming en gasprijzen zullen waarschijnlijk de aandacht van de wetgevers domineren. Als het nieuwe congres in januari aantreedt, moeten alle wetsvoorstellen die voor de verkiezingen niet zijn aangenomen, opnieuw worden ingediend.
Gevraagd woensdag of een wet op datalekken dit jaar zou worden aangenomen, James Assey Jr., een senior democratisch adviseur in de Senaat Koophandel, Wetenschaps- en Transportcommissie, zei dat hij het niet zeker weet, hoewel de rekeningen voor het melden van datalekken tweeledig zijn steun.
"Het is onduidelijk wat het Congres gaat doen", zei hij tijdens een conferentie van de Association for Computing Machinery (ACM). "Als ik naar het volgende congres ga, ben ik er zeker van dat deze kwesties zullen terugkeren."
Vorige maand kwam een groep leidinggevenden van IT-beveiligingsleveranciers naar Washington, D.C., om aan te dringen op een wet op datalekken, waarbij sommigen bang waren dat het Congres het probleem zou laten verdwijnen. Georganiseerd door de Cyber Security Industry Alliance, zorgde de reis ervoor dat sommige deelnemers zich nog steeds zorgen maakten dat het Congres de kwestie op een laag pitje had gezet.
Deelnemers zeiden tegen wetgevers en personeel: "Misschien wilt u uw kiezers ondervragen om te zien of dit belangrijk is", zei Philip Dunkelberger, president en chief executive officer van PGP Corp. "We zeggen: 'Je moet de wetgeving daar krijgen waar mensen een open, openbaar debat kunnen voeren'."
Een van de grote debatten over de wetgeving is wat de klantmelding moet activeren. Sommige rekeningen stellen bedrijven die gegevens bewaren in staat om te beslissen wanneer ze moeten rapporteren door alleen een melding te eisen wanneer er een "aanzienlijk" risico op identiteitsdiefstal bestaat. Andere rekeningen vereisen rapportage voor vrijwel alle datalekken, maar critici zeggen dat consumenten "meldingsmoeheid" kunnen krijgen.
Maar als bedrijven mogen bepalen wanneer er een aanzienlijk risico is, zal er waarschijnlijk weinig melding van worden gemaakt, zegt Daniel Solove, een advocaat voor privacy en wet professor aan de George Washington University in Washington, D.C. "Elk bedrijf heeft een prikkel om niet te zeggen: 'Je loopt echt een groot risico'", zei Solove bij de ACM conferentie.
Veel van de kennisgevingswetten in het Congres zouden zwakker zijn dan sommige van de reeds aangenomen staatswetten, voegde Solove toe. Staatswetten in Californië en New York vereisen bijvoorbeeld melding wanneer er sprake is van een inbreuk op niet-versleutelde gegevens en staan bedrijven niet toe om te beslissen of er een aanzienlijk risico is.
Solove ziet liever dat die staatswetten worden gehandhaafd dan dat er een nationale wet op de melding van inbreuken wordt aangenomen, zei hij. De meeste wetsvoorstellen van het congres zijn "niet erg streng", zei hij. "De staatsinnovaties hier zijn echt goed."