Welke verantwoordelijkheid draagt ​​een bedrijf bij het vrijgeven van klantgegevens?

Gegevens van miljoenen klanten gelekt

Het Ministerie van Openbare Veiligheid heeft gewezen op een reeks technologiebedrijven die klantgegevens hebben gelekt, en taxibedrijven die gelekte passagiersgegevens hebben gebruikt om diensten aan te bieden via sms-berichten. Het Ministerie van Openbare Veiligheid gaf ook aan dat de huidige situatie van het lekken en verkopen van persoonsgegevens wijdverbreid, openbaar en steeds complexer is. Erger nog, veel gegevens worden al lange tijd publiekelijk en in grote hoeveelheden via cyberspace verkocht. De aan- en verkoop vindt niet alleen individueel plaats, tussen individuen, maar omvat ook de deelname van bedrijven, organisaties en ondernemingen.

In 2018 lekte informatie over Thegioididong.com uit en hackers verkregen belangrijke informatie zoals e-mailadressen, transactiegeschiedenis en zelfs kaartnummers. Dit leidde tot onrust bij miljoenen klanten. The Gioi Di Dong publiceerde onmiddellijk een persbericht waarin werd bevestigd dat het om nepinformatie ging, dat het systeem nog steeds veilig was, normaal functioneerde en niet was aangetast. Daarna werd het geleidelijk rustiger.

In april 2018 registreerde VNG dat 160 miljoen Zing ID-accounts het risico liepen te worden gelekt en dat dit gevolgen zou kunnen hebben voor een deel van de klantenbestanden van het bedrijf in de gamingsector. Het bedrijf gaf aan dat het onmiddellijk maatregelen had genomen om inbraak te voorkomen en het aantal gebruikers dat door het incident werd getroffen te beperken door middel van technische maatregelen. VNG gaf echter toe dat de gegevens van een aantal gebruikers waren gelekt, maar "de groep gebruikers die daadwerkelijk door dit incident werd getroffen, is niet groot. Het is geconcentreerd onder gamingklanten en heeft geen invloed op andere VNG-producten". VNG beloofde de rechten en veiligheid van klanten altijd te waarborgen en alle problemen die zich voor klanten voordoen grondig op te lossen.

Volgens de heer Vo Do Thang van het Athena Cyber ​​Security Center moet er in specifieke gevallen, zoals die genoemd door het Ministerie van Openbare Veiligheid, onderzoek worden gedaan om te achterhalen of het systeem van het bedrijf is aangevallen of dat medewerkers van het bedrijf de gegevens hebben gestolen en vrijgegeven. Maar wat de reden ook is, wanneer gegevens lekken, betekent dit dat het systeem van het bedrijf een kwetsbaarheid heeft. Deze kwetsbaarheid kan technisch of menselijk van aard zijn. Daarom moet de netwerkbeveiliging en -veiligheid in het algemeen, of de bescherming van de persoonlijke gegevens van klanten, 24 uur per dag, 365 dagen per jaar, zonder nalatigheid worden bewaakt en regelmatig worden geïmplementeerd. Niemand durft immers te beweren dat zijn systeem altijd veilig is, omdat hackers op elk moment kunnen aanvallen. Om nog maar te zwijgen van de situatie waarin de eigen medewerkers van het bedrijf degenen zijn die klantgegevens stelen om deze aan buitenstaanders te verkopen...

De wereld kent zware straffen, maar Vietnam kent er weinig.

Recentelijk zijn er een aantal gevallen geweest van het lekken van klantgegevens, maar vrijwel geen enkele eenheid is gestraft of gesanctioneerd. Ondertussen hebben landen wereldwijd zware straffen opgelegd voor dit gedrag. Zo besloot de Amerikaanse Federal Trade Commission in juli 2019 Facebook een boete van 5 miljard dollar op te leggen nadat Cambridge Analytica illegaal toegang had gekregen tot de persoonsgegevens van 87 miljoen gebruikers van dit sociale netwerk. Volgens het onderzoek stond Facebook Cambridge Analytica toe om illegaal toegang te krijgen tot de gegevens van 50 miljoen Amerikaanse gebruikers tijdens de presidentsverkiezingscampagne van 2016 en het Brexit-referendum in het Verenigd Koninkrijk in 2016... Dit is de hoogste boete ooit voor een schandaal waarbij gebruikersgegevens lekten.

In Vietnam zijn er veel regels met betrekking tot sancties voor informatielekken en -openbaarmaking. Momenteel bepaalt het ontwerpbesluit inzake sancties voor administratieve overtredingen op het gebied van netwerkbeveiliging (dat in consultatie is en wacht op afkondiging door de overheid) dat de maximale boete voor organisaties die de regelgeving inzake de bescherming van persoonsgegevens overtreden, een boete is van maximaal 5% van de totale omzet van het voorgaande fiscale jaar in Vietnam voor de tweede of meer overtredingen. Daarnaast kan er een extra boete worden opgelegd, namelijk intrekking van de bedrijfsvergunning van de branche die 1 tot 3 maanden verplicht is om persoonsgegevens te verzamelen.

De heer Vu Ngoc Son, technisch directeur van VN Cyber ​​Security Technology Company, zei dat bedrijven en organisaties die de regels overtreden tot nu toe, vanwege het gebrek aan gedetailleerde regelgeving inzake de bescherming van persoonsgegevens, alleen administratieve boetes zullen krijgen. De voorgestelde maximale boete van maximaal 5% van de totale omzet in het aankomende ontwerp is daarom geschikt voor Vietnam en heeft een afschrikwekkende werking, waardoor eenheden een grotere verantwoordelijkheid hebben bij het beschermen van klantgegevens. Volgens de heer Son is deze boete echter nog steeds niet hoog in vergelijking met de rest van de wereld. In veel landen worden de meeste boetes namelijk bepaald op basis van de omvang van de impact van elke overtreding. Als er bijvoorbeeld een overtreding is die afkomstig is van een klein bedrijf, maar een groot aantal gebruikers ernstig treft, zal de boete nog steeds zeer hoog zijn. "In Vietnam is er nog steeds geen schaal om de impact van elk geval van persoonsgegevenslekken te beoordelen, dus is het redelijk om een ​​boete voor te stellen op basis van de omzet. Ik denk dat dit een nieuwe stap voorwaarts zal zijn in het proces van controle en bescherming van de persoonsgegevens van mensen", aldus de heer Vu Ngoc Son.

De heer Vo Do Thang was het daarmee eens en merkte op dat meer gedetailleerde regelgeving over specifieke en openbare administratieve sancties voor handelingen ter bescherming van de persoonsgegevens van klanten bedrijven zal dwingen hun netwerkbeveiligingssystemen te herzien. Er is een proces van regelmatige beoordeling en monitoring van zowel technische als personele middelen om de vertrouwelijkheid van klantgegevens te waarborgen. Dit is vergelijkbaar met de regelgeving voor het waarborgen van brandveiligheid in kantoorgebouwen en drukke plaatsen. Overheidsinstanties moeten ook de inspectie, het toezicht en de strenge bestraffing van overtredende bedrijven versterken. De eerste overtreding kan openbaar worden gemaakt in de media; de tweede overtreding zal onderworpen zijn aan overeenkomstige administratieve sancties en vervolgens kan de dienst voor een bepaalde periode worden opgeschort, zodat het bedrijf zijn netwerkbeveiligingssysteem kan versterken.