De meldingen die bedrijven consumenten sturen over datalekken, zijn niet duidelijk en kunnen, volgens nieuw onderzoek, de verwarring van klanten over de vraag of hun gegevens gevaar lopen, vergroten.
Voortbouwend op hun eerdere onderzoek waaruit bleek dat consumenten vaak weinig actie ondernemen bij inbreuken op de beveiliging, analyseerden de onderzoekers de meldingen van datalekken die bedrijven naar consumenten stuurden om te kijken of de communicatie mogelijk verantwoordelijk was voor een deel van het gebrek aan actie.
Zij ontdekten dat 97-percentage van de 161-gesampelde meldingen moeilijk of redelijk moeilijk te lezen was op basis van leesbaarheidsstatistieken en dat de taal die erin werd gebruikt mogelijk heeft bijgedragen aan verwarring over de vraag of de ontvanger van de communicatie in gevaar was en actie moest ondernemen.
"Voor de meeste bedrijven worden deze meldingen alleen gezien als een vereiste om te voldoen aan de wetgeving inzake het melden van inbreuk op gegevens ..."
"Onze analyse laat zien dat het wettelijk niet nodig is dat bedrijven alleen meldingen van inbreuk op gegevens verzenden," zegt Yixin Zou, een doctoraatsstudent aan de Universiteit van Michigan.
"Het is belangrijk om ervoor te zorgen dat belangrijke informatie, zoals wat er is gebeurd en wat consumenten moeten doen om zichzelf te beschermen, wordt gecommuniceerd in deze meldingen op een manier die begrijpelijk en bruikbaar is voor de consument."
Onder verwijzing naar statistieken uit het Clearinghouse van de Privacyrechten, vermelden de auteurs dat er in 2017 853-gegevens zijn geschonden die 2.05 miljard records hebben aangetast, waaronder namen van consumenten, contactgegevens, creditcardgegevens, sofinummers, winkel- en inkooprecords, sociale media berichten en berichten en medische dossiers.
Als reactie hierop hebben de meeste landen, inclusief de Verenigde Staten, kennisgevingen van datalekken aangenomen. In de VS heeft elke staat zijn eigen wet inzake inbreuk op gegevens, wat betekent dat de drempel voor wanneer bedrijven consumenten moeten informeren, hoe snel na een inbreuk ze meldingen moeten verzenden en hoe die melding er uit moet zien, per land kan verschillen.
"Er is weinig stimulans voor bedrijven om te investeren in het bruikbaarder maken van datalekken."
Dit biedt bedrijven veel vrijheid om hedgingtermijnen te gebruiken die risicovolle zinnen zoals "u zou kunnen worden aangetast" en "waarschijnlijk wordt u aangetast" in 70 procent van de meldingen neerzetten en zeggen "op dit moment hebben wij geen bewijs van blootstelling gegevens worden misbruikt "40 procent van de tijd.
Het laat ook een gebrek aan consistentie toe bij het aanpakken van de oorzaak van de overtreding, de datum van optreden en de hoeveelheid belichtingstijd, zeggen de onderzoekers.
"Er is weinig stimulans voor bedrijven om te investeren in het bruikbaarder maken van meldingen van datalekken", zegt Florian Schaub, assistent-professor aan de School of Information.
"Voor de meeste bedrijven worden deze meldingen alleen gezien als een vereiste om te voldoen aan de wetgeving inzake datalekken in plaats van een manier om hun klanten voor te lichten en te beschermen. We moeten de wetgeving ter bescherming van consumenten, zoals deze, heroverwegen en herwerken om ervoor te zorgen dat de meldingen van bedrijven echt nuttig zijn voor de consument, "zegt Schaub.
De meeste staatswetten verplichten bedrijven om getroffen consumenten in schriftelijke brieven of telefonisch op de hoogte te stellen. E-mails, aankondigingen van websites, mededelingen aan de hele staat, of andere elektronische methoden zijn meestal substituten. De studie toont een consistent patroon met 95 procent van de geanalyseerde meldingen per post. De onderzoekers zeggen dat de langzame snelheid van een gemailde brief de tijd kan verhogen dat consumenten niet geïnformeerd zijn over de overtreding.
De onderzoekers deelden hun werk op de CHI-conferentie over menselijke factoren in computergebruik in Glasgow, Schotland.
Bron: Universiteit van Michigan
Verwante Boeken
at InnerSelf Market en Amazon
