De Autoriteit Persoonsgegevens verkondigde eind december dat er gedurende 2016 in totaal 5.500 datalekken zijn gemeld. Als het aan Managing director Pieter Lacroix van Sophos Nederland ligt, deelt de Autoriteit Persoonsgegevens liever nog gisteren dan vandaag een boete uit voor gemelde datalekken.
Onderzoeken naar de lekken zijn in volle gang, maar de Autoriteit Persoonsgegevens heeft tot nu toe geen boetes opgelegd. Dit is volgens Pieter Lacroix onbegrijpelijk. “Het is te vergelijken met een brute bankoverval of een automobilist die met veel te veel alcohol in zijn bloed een politiefuik inrijdt en vervolgens alleen van de dienstdoende agent ‘voortaan niet mee doen, hè?’ te horen krijgt. Een regelrechte farce, als je het mij op de man af vraagt. Daarnaast denk ik dat het aantal van 5.500 meldingen geen goede weerspiegeling is van het werkelijk aantal datalekken dat in het afgelopen jaar heeft plaatsgevonden.”
Risico
Nederland telt zo’n 130.000 organisaties. Een verloren USB, een gestolen laptop, een confidentieel mailtje naar de verkeerde persoon en ransomware zijn volgens Lacroix stuk voor stuk datalekken die gemeld dienen te worden. “De kans dat slechts vier procent van deze groep één datalek per organisatie in de afgelopen twaalf maanden ervaart én meldt, is minuscuul. En dat Aldo Verbruggen, voormalig officier van Justitie eerder dit jaar openlijk verkondigt dat het voor bedrijven in veel gevallen loont risico te lopen mogelijk later betrapt te worden en dan een eventuele boete te betalen, zet ook niet bepaald zoden aan de dijken.”
Zware boetes
Lacroix gelooft dan ook heilig in het opleggen van meer en zwaardere boetes. “Laat ik voorop stellen dat ik blij ben dat er een wet is die zich over onze veiligheid en privacy buigt. De discussie is aangezwengeld en heeft zelfs zijn weg naar de boardrooms van grote bedrijven gevonden. Maar zonder houtsnijdende repercussies zal de impact bij bedrijven nul zijn en het op termijn van de zakelijke agenda verdwijnen. Want waarom een melding doen als je er toch niet voor wordt gestraft?”
General Data Protection Regulation
In mei 2018 gaat de General Data Protection Regulation (GDPR) van kracht, een wet die voor heel Europa zal gelden en die nog wat meer uitbreiding van de Meldplicht Datalekken vraagt. De Meldplicht Datalekken is volgens Pieter Lacroix eigenlijk een light-versie van GDPR. “Omdat de Nederlandse wetgeving minimaal aan de Europese eisen moet voldoen, krijgen de boetes hopelijk een afschrikkender karakter dan nu in Nederland het geval is. Je moet er als organisatie dan toch niet aan denken dat je mogelijk maximaal 4 procent van je wereldwijde omzet dient af te staan bij het niet melden van een datalek? De Autoriteit Persoonsgegevens zou naar aanleiding van de 5.500 gemelde datalekken haar geloofwaardigheid kracht kunnen bijzetten door het uitdelen van de eerste boetes. Maar tot nu toe blijft het hieromtrent akelig stil. Dit frustreert mij maar ook de gehele beveiligingswereld die dag en nacht aan privacy en security werkt. We kijken daarom uit naar een eerste financiële straf, anders is het concept Meldplicht Datalekken in mijn optiek niet meer dan een wassen neus.”
Meer informatie: Sophos
7 november (online seminar op 1 middag)Praktische tutorial met Alec Sharp Alec Sharp illustreert de vele manieren waarop conceptmodellen (conceptuele datamodellen) procesverandering en business analyse ondersteunen. En hij behandelt wat elke data-pr...
18 t/m 20 november 2024Praktische workshop met internationaal gerenommeerde spreker Alec Sharp over het modelleren met Entity-Relationship vanuit business perspectief. De workshop wordt ondersteund met praktijkvoorbeelden en duidelijke, herbruikbare ...
De DAMA DMBoK2 beschrijft 11 disciplines van Data Management, waarbij Data Governance centraal staat. De Certified Data Management Professional (CDMP) certificatie biedt een traject voor het inleidende niveau (Associate) tot en met hogere niveaus van...
3 april 2025 (halve dag)Praktische workshop met Alec Sharp [Halve dag] Deze workshop door Alec Sharp introduceert conceptmodellering vanuit een non-technisch perspectief. Alec geeft tips en richtlijnen voor de analist, en verkent datamodellering op c...
10, 11 en 14 april 2025Praktische driedaagse workshop met internationaal gerenommeerde spreker Alec Sharp over herkennen, beschrijven en ontwerpen van business processen. De workshop wordt ondersteund met praktijkvoorbeelden en duidelijke, herbruikba...
Alleen als In-house beschikbaarWorkshop met BPM-specialist Christian Gijsels over business analyse, modelleren en simuleren met de nieuwste release van Sparx Systems' Enterprise Architect, versie 16.Intensieve cursus waarin de belangrijkste basisfunc...
Deel dit bericht