ID: S202602271312
Status: school
Tags: debateren, Avans 2-2 Keuzenmodule
avans 2-2 debat
In dit debat moet ik het volgende standpunt nemen als tegenstander:
Openbaarmaking van incidenten moet worden gestuurd door ‘materiële
impact’ in plaats van vaste tijdslimieten.
Ik heb tot 14:30 om onderzoek te doen en om argumenten te vinden.
Onderzoek
Momentele regeling:
De meldplicht van datalekken is opgenomen in de AVG. Als je een datalek hebt geconstateerd, moet je dat binnen 72 uur melden bij de Autoriteit Persoonsgegevens (AP).
Dus nu is er volgens de wet geregeld dat een datalek gemeld moet worden omdat anders een bedrijf kan zeggen dat het niet belangrijk is, en het dus niet melden?
In dit artikel blijkt dat gemeenten vaak geen datalekken melden die te maken hebben met corruptie. Deze datalekken hebben in 2025 alleen al gezorgd voor ‘tientallen explosies en zeker twee pogingen tot moord’. Als we alleen meldplicht hebben gebaseerd op hoe belangrijk iemand het vind om het te melden, dan zal het probleem van dit soort datalekken alleen maar groter worden.
Argumenten
Argument 1
Als we de meldtijd gaan bepalen zullen bedrijven misbruik kunnen maken door andere aantallen te melden dan het echt is, om te zorgen dat het voordeliger is voor hunzelf. Dit zourgt er voor dat sommige datalekken nooit gemeld gaan worden omdat een bedrijf vind dat het niet belangrijk genoeg is.
Zo zien we bijvoorbeeld dat Odido heeft gezegd dat het maar om 6 miljoen klanten ging terwijl het bleek om 8 miljoen klanten te gaan. Hieruit zien we dat een leugen of inschattingsfout al kan gebeuren. Dus we willen het niet meer negatieve impact laten hebben als het gebeurt. bron
Argument 2
Als een bedrijf het direct moet melden omdat iemand vind dat het veel impact heeft, kan dat een negatief impact hebben. Want als je het moet melden voordat je lek gedicht is, dan is de kans er dat mensen het lek zelf ook gaan zoeken om het mogelijk te kunnen misbruiken. 72 uur zorgt dat ieder bedrijf de tijd heeft om het gat als eerste te dichten. Om deze zelfde rede worden CVE’s ook niet direct gedeeld. ALs we kijken naar de critical vulnerability van React afgelopen december, dan zien we dat ze eerst zorgde dat het lek gedicht was voordat ze het meldde aan de wereld. bron
Mogelijke argumenten vna mijn tegenstander
VoorArgument 1
Als elk klein incident of lek binnen een vaste termijn moet worden gemeld, krijgen toezichthouders en het publiek te veel irrelevante meldingen. Dat maakt het moeilijk om de écht ernstige gevallen nog te onderscheiden.
Het klopt dat sommige incidenten minder belangrijk zijn, maar het kan dat een bedrijf het verkeerd inschat en het later wel belangrijk blijkt.
VoorArgument 2
Bij een cyberaanval of datalek weet men vaak pas na een paar dagen wat er precies is gebeurd. Als je _te snel_ moet melden, deel je onjuiste of onvolledige informatie — en dat kan schadelijk zijn voor zowel het bedrijf als het publiek.
Een vast tijdslimiet betekent niet dat alles direct openbaar moet, de meldplicht is alleen een tijdslimiet op het doen van de melding, een bedrijf kan altijd later missende informatie inbrengen.
VoorArgument 3
Als alles meteen wordt gemeld, ook kleine of nog niet‑begrepen incidenten, kan dat leiden tot onnodige paniek bij klanten, beleggers of het publiek.
Openbaarheid is juist belangrijk voor vertrouwen, verzwijging of te late rapportage kan nog meer reputatieschade veroorzaken zodra het alsnog uitlekt.
VoorArgument 4
Constant moet rapporteren binnen vaste deadlines kost tijd en geld, zeker voor organisaties die veel kleine veiligheidsincidenten hebben. Door te focussen op materiële impact kan men middelen richten op daadwerkelijke risico’s.
Transparantie is gericht op verantwoordelijkheid. Zonder verplichting is er juist meer kans op misleiding of vertraging.
VoorArgument 5
In veel financiële regelgeving (zoals beurswetgeving) is het begrip ‘materiële impact’ al de norm: bedrijven hoeven pas te melden als iets financiële of reputatie‑impact heeft.
Cyberincidenten raken niet alleen aandeelhouders, maar ook burgers, klanten en privacyrechten, dus publieke meldplicht is van een ander karakter dan financiële rapportage.