Onlangs liet het Europees agentschap voor netwerk- en informatiebeveiliging (ENISA) weten dat het een meldplicht wil invoeren voor bedrijven die persoonsgegevens lekken, maar Amerikaanse onderzoekers, waar een meldplicht al van kracht is, laten weten dat dit niet helpt in het verminderen van identiteitsdiefstal. "Er is geen bewijs dat de wet identiteitsdiefstal vermindert," zegt Sasha Romanosky van de Universiteit van Carnegie Mellon.

De onderzoekers vragen zich dan ook af of een meldplicht wel het gewenste resultaat oplevert. Het mag dan de beveiliging bij bedrijven verbeteren en consumenten maatregelen laten nemen tegen ID-diefstal, het doet kosten voor zowel bedrijven als consumenten toenemen. Ook sociale welvaart, innovatie en economische activiteiten hebben onder de meldplicht te leiden. De wetgeving zou dan ook onnodig zijn, omdat de kans dat een beveiligingsincident tot identiteitsdiefstal leidt slechts 2% is. Verder dragen bedrijven het grootste gedeelte van de kosten en zouden teveel waarschuwingen de consument verwarren en ervoor zorgen dat die geen actie meer onderneemt.

Zinloos

"Onze grootste angst is dat wetgeving resulteert in slechtere beveiliging, omdat het bedrijven een minimale vereiste geeft waar ze nu aan moeten doen, maar die over een paar jaar hopeloos achterloopt. Daarnaast zal het beleid verworden tot een verzameling regels waar bedrijven geld aan uitgeven, terwijl dit niet de misdrijven voorkomt waar het juist voor ontworpen is," zo laten critici van de meldplicht weten.

De onderzoekers zijn iets voorzichtiger en melden dat het effect van dit soort wetgeving beperkt is als het aantal gevallen van ID-diefstal door beveiligingsincidenten klein blijkt te zijn. Verder zou het kunnen dat bedrijven nog niet de nodige beveiligingsmaatregelen hebben kunnen nemen om beveiligingsincidenten te voorkomen. Als laatste zien de onderzoekers een taak weggelegd voor de consument, die meer moet doen om te voorkomen dat hij slachtoffer van identiteitsdiefstal wordt.