De Internet and Mobile Association of India (IAMAI), die bedrijven als Facebook, Google en Reliance vertegenwoordigt, schreef deze week een brief aan het Indiase IT-ministerie waarin kritiek werd geuit op een richtlijn over cyberbeveiliging die in april was opgesteld.

Naast andere veranderingen vereist de richtlijn van het Indiase Computer Emergency Response Team (CERT) dat techbedrijven datalekken binnen zes uur na het opmerken van dergelijke incidenten melden en IT- en communicatielogboeken zes maanden lang bijhouden.

In de brief die Reuters heeft gezien, stelt IAMAI voor om de periode van zes uur te verlengen, waarbij wordt opgemerkt dat de wereldwijde standaard voor het melden van cyberbeveiligingsincidenten over het algemeen 72 uur is.

CERT, dat onder het IT-ministerie valt, heeft ook aan aanbieders van clouddiensten zoals Amazon en VPN-bedrijven (Virtual Private Network) gevraagd om de namen van hun klanten en IP-adressen ten minste vijf jaar te bewaren, zelfs nadat ze zijn gestopt met het gebruik van de diensten van het bedrijf.

De kosten om aan dergelijke richtlijnen te voldoen zouden "enorm" kunnen oplopen, en de voorgestelde straffen voor overtredingen, waaronder gevangenisstraffen, zouden ertoe kunnen leiden dat "entiteiten hun activiteiten in India staken uit angst om in overtreding te raken", aldus de brief van IAMAI.

Op donderdag verwijderde VPN-serviceprovider ExpressVPN zijn servers uit India met de mededeling dat het "weigert deel te nemen aan de pogingen van de Indiase regering om de internetvrijheid te beperken".

De brief van IAMAI volgt op een brief van 11 belangrijke brancheorganisaties uit de technologiesector eerder deze week, die zeiden dat de nieuwe vereisten het moeilijk maken om zaken te doen in India.

India heeft de afgelopen jaren de regelgeving voor grote techbedrijven aangescherpt, wat tot reacties uit de sector heeft geleid en in sommige gevallen zelfs de handelsbetrekkingen tussen New Delhi en Washington onder druk heeft gezet.

New Delhi heeft gezegd dat de nieuwe regels nodig waren omdat er regelmatig incidenten op het gebied van cyberbeveiliging werden gemeld, maar dat de benodigde informatie die nodig is om ze te onderzoeken niet altijd direct beschikbaar was van serviceproviders.