Sophos: Meldplicht Datalekken een wassen neus

De Autoriteit Persoonsgegevens verkondigde eind december dat er gedurende 2016 in totaal 5.500 datalekken zijn gemeld. Als het aan Managing director Pieter Lacroix van Sophos Nederland ligt, deelt de Autoriteit Persoonsgegevens liever nog gisteren dan vandaag een boete uit voor gemelde datalekken.

Onderzoeken naar de lekken zijn in volle gang, maar de Autoriteit Persoonsgegevens heeft tot nu toe geen boetes opgelegd. Dit is volgens Pieter Lacroix onbegrijpelijk. “Het is te vergelijken met een brute bankoverval of een automobilist die met veel te veel alcohol in zijn bloed een politiefuik inrijdt en vervolgens alleen van de dienstdoende agent ‘voortaan niet mee doen, hè?’ te horen krijgt. Een regelrechte farce, als je het mij op de man af vraagt. Daarnaast denk ik dat het aantal van 5.500 meldingen geen goede weerspiegeling is van het werkelijk aantal datalekken dat in het afgelopen jaar heeft plaatsgevonden.”

Risico
Nederland telt zo’n 130.000 organisaties. Een verloren USB, een gestolen laptop, een confidentieel mailtje naar de verkeerde persoon en ransomware zijn volgens Lacroix stuk voor stuk datalekken die gemeld dienen te worden. “De kans dat slechts vier procent van deze groep één datalek per organisatie in de afgelopen twaalf maanden ervaart én meldt, is minuscuul. En dat Aldo Verbruggen, voormalig officier van Justitie eerder dit jaar openlijk verkondigt dat het voor bedrijven in veel gevallen loont risico te lopen mogelijk later betrapt te worden en dan een eventuele boete te betalen, zet ook niet bepaald zoden aan de dijken.”

Zware boetes
Lacroix gelooft dan ook heilig in het opleggen van meer en zwaardere boetes. “Laat ik voorop stellen dat ik blij ben dat er een wet is die zich over onze veiligheid en privacy buigt. De discussie is aangezwengeld en heeft zelfs zijn weg naar de boardrooms van grote bedrijven gevonden. Maar zonder houtsnijdende repercussies zal de impact bij bedrijven nul zijn en het op termijn van de zakelijke agenda verdwijnen. Want waarom een melding doen als je er toch niet voor wordt gestraft?”

General Data Protection Regulation
In mei 2018 gaat de General Data Protection Regulation (GDPR) van kracht, een wet die voor heel Europa zal gelden en die nog wat meer uitbreiding van de Meldplicht Datalekken vraagt. De Meldplicht Datalekken is volgens Pieter Lacroix eigenlijk een light-versie van GDPR. “Omdat de Nederlandse wetgeving minimaal aan de Europese eisen moet voldoen, krijgen de boetes hopelijk een afschrikkender karakter dan nu in Nederland het geval is. Je moet er als organisatie dan toch niet aan denken dat je mogelijk maximaal 4 procent van je wereldwijde omzet dient af te staan bij het niet melden van een datalek? De Autoriteit Persoonsgegevens zou naar aanleiding van de 5.500 gemelde datalekken haar geloofwaardigheid kracht kunnen bijzetten door het uitdelen van de eerste boetes. Maar tot nu toe blijft het hieromtrent akelig stil. Dit frustreert mij maar ook de gehele beveiligingswereld die dag en nacht aan privacy en security werkt. We kijken daarom uit naar een eerste financiële straf, anders is het concept Meldplicht Datalekken in mijn optiek niet meer dan een wassen neus.”

Meer informatie: Sophos