India stelt logverplichting VPN-aanbieders drie maanden uit

Taj Mahal monument weerspiegelt in het water van het zwembad

De Indiase regering geeft VPN-providers en aanbieders van clouddiensten drie maanden extra de tijd om te voldoen aan de logverplichting. De nieuwe regels zouden vanaf afgelopen maandag officieel gelden. Door de inwerkingtreding drie maanden uit te stellen, wil India bedrijven meer tijd geven om aan de nieuwe regels te voldoen.

Dat schrijft de Amerikaanse techsite TechCrunch.

India kondigt strenge logregels aan

Eind april vertelde India dat er nieuwe wetgeving voor VPN- en VPS-providers, datacentra en aanbieders van clouddiensten in aantocht was. De overheid eiste dat deze bedrijven vanaf 27 juni logs zouden bijhouden van hun systemen. Ze moesten onder meer registreren wie er gebruikmaakte van hun diensten, de begin- en einddatum van een abonnement, het oorspronkelijke IP-adres van gebruikers, e-mailadressen, contactgegevens, financiële transacties en opheffingsdata van accounts.

De Indiase regering eist dat bovenstaande data vijf jaar lang bewaard worden na het beëindigen van een account. De logbestanden van de computersystemen moeten 180 dagen bewaard worden in India. Indien nodig moeten deze gegevens overhandigd worden aan het Indiase Computer Emergency Response Team (CERT-In). Tot slot zijn techbedrijven verplicht om een ernstig beveiligingsprobleem, cyberaanval, datalek of datadiefstal binnen zes uur te melden.

Na het besluit kondigde de ene na de andere VPN-provider aan hun locatieservers in India weg te halen. Het begon met ExpressVPN, even later volgden Surfshark en Private Internet Access (PIA).

Techbedrijven zijn bang voor ‘verzwakking cybersecurity en online privacy’

Volgens TechCrunch maakte CERT-In maandagavond bekend dat de handhaving van de logregels met drie maanden wordt uitgesteld. Dat betekent dat de nieuwe regelgeving pas op 25 september in werking treedt. De deadline is opgeschoven omdat de bedrijven in een gezamenlijke brief om “extra tijd” hadden gevraagd.

De brief was gericht aan CERT-In en het ministerie van Elektronica en IT. De ondertekenaars vroegen aan het departement om de “gevaarlijke cyberbeveiligingsrichtlijnen” niet uit te voeren. “De huidige instructies zullen onbedoeld leiden tot een verzwakking van de cybersecurity en het cruciale onderdeel daarvan, de online privacy”, schrijven ze.

De ondertekenaars vervolgen hun verhaal. “We zijn ons bewust van de behoefte aan een kader voor het melden van cyberincidenten, maar de in de instructies voorgeschreven termijnen voor het melden en buitensporig lang bewaren van gegevens zullen in de praktijk negatieve gevolgen hebben en de effectiviteit belemmeren, terwijl ze de online privacy en veiligheid in gevaar brengen.”

Minister noemt meldingsplicht ‘zeer genereus’

Rajeev Chandrasekhar, de minister van Elektronica en IT, zei afgelopen maand dat VPN-providers die de identiteit van hun gebruikers willen verhullen “zich zullen moeten terugtrekken” uit India. Hij maakte eveneens duidelijk dat hij er niets voor voelde om in debat te gaan over de nieuwe regels. Tevens zei hij dat hij de meldplicht van zes uur “zeer genereus” vond. De minister benadrukte dat Indonesië en Singapore strenger omspringen met de meldplicht.

In de Europese Unie hebben bedrijven en organisaties 72 uur de tijd om een datalek of ‘melding van een inbreuk in verband met persoonsgegevens’ te melden bij de nationale toezichthouder. Dat is vastgelegd in artikel 33 van de Algemene verordening gegevensbescherming (AVG).

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen