Beheer

Governance
datalek

Boetes Meldplicht Datalekken blijven uit

Nederlandse meldplicht lijkt vooral oefening voor EU-verorderning

© Shutterstock
2 februari 2017

De Nederlandse meldplicht datalekken blijft voorlopig een oefening voor de Europese Verordening Gegevensbescherming die in mei 2018 van kracht wordt. Boetes, die in theorie kunnen oplopen tot 820.000 euro, blijven hoogst waarschijnlijk uit.

Dat valt op te maken uit de woorden van Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens. De Nederlandse meldplicht datalekken is nu ruim een jaar van kracht. In die tijd heeft de AP ruim 5500 meldingen gehad van dataverlies. Er is echter tot nu toe nog geen enkele boete uitgedeeld en de kans dat dat nog gaat gebeuren is klein. “Daar hebben we een hoge drempel voor opgeworpen; het moet echt opzettelijk zijn gebeurd of er moet sprake zijn van grove schuld. We geven bij overtredingen eerst dwingende aanwijzingen en als die opgevolgd worden, volgt geen boete. Pas als dat niet gebeurt, volgt er een boete”, zegt Wolfsen.. Hij benadrukt wel dat vanaf mei 2018 de Europese verordening de Nederlandse meldplicht datalekken vervangt. “En daarbij is die drempel veel lager en zijn de boetes veel hoger. Die lopen op tot 20 miljoen euro. Men moet ook veel sneller melden.”

Weinig meldingen

Wolfsen zei dit tijdens een bijeenkomst van beveiliger Kaspersky waarbij het onderzoek Meldplicht Datalekken in de Praktijk werd gepresenteerd van Pb7 Research. De uitkomst daarvan is dat zeker 41 procent van de Nederlandse organisaties geen melding doet bij dataverlies. Aan het onderzoek deden 310 beslissers mee, zowel van de business- als van de IT-kant, die een goed inzicht hadden in de wijze waarop hun organisatie omgaat met de meldplicht datalekken. Onderzoeker Peter Vermeulen van Pb7 stelt dat er veel meer lekken moeten zijn dan die nu gemeld zijn. “Op basis van ons onderzoek zou er in 2016 sprake moeten zijn van ruim 24.000 meldingen van datalekken. Dat aantal wijkt flink af van de door Autoriteit Persoonsgegevens gepubliceerde 5.500 registraties bij de aftrap van dit jaar.” Hij baseert zich hierbij op de bevinding dat de 310 respondenten minstens een keer per twee jaar met dataverlies te maken hebben.

“Dataverlies komt gewoon veel voor. Wel zegt 45 procent er het afgelopen jaar niet mee te maken te hebben gehad. Maar 55 procent heeft dat dus wel. Daarbij gaat het heel vaak om het verlies van gegevensdragers. Bovendien heeft een op de zes organisaties te maken gehad met zakelijke identiteitsfraude."

Dat er niet gemeld wordt, is in veel gevallen een gebrek aan kennis. Het is voor veel organisaties nog steeds onduidelijk is wanneer ze nu wel of niet moeten melden bij de Autoriteit Persoonsgegevens. Een grote groep onttrekt zich echter aan de meldplicht, ook als er duidelijk een lek is, constateert Vermeulen. Zo geeft 10 procent aan pas bij misbruik van het lek te gaan melden en 5 procent pas als een klant hen er op aanspreekt. Duidelijk is wel volgens de onderzoeker dat de overheid hier netter in is dan het gemiddelde bedrijf. “Vooral in de handel en industrie maakt men veel gebruik van de marges.”

Geen kennis

Kennistekort is een belangrijke oorzaak, maar ook de vrees voor reputatieschade leeft en dan vooral bij de financiële sector. Veel voorkomende redenen waarom men niet meldt zijn dat men vindt dat de impact van het lek onduidelijk is of beperkt. Ook denkt men er verder misbruik mee te voorkomen omdat de aard van het lek anders bekend wordt. Daarnaast vrezen vooral organisaties in de zorg en bij de overheid voor disciplinaire maatregelen van de eigen baas. Maar ook vindt een deel het genant, wil boetes voorkomen en heeft geen zin in de administratieve rompslomp. Maar ook de lage pakkans bij niet melden, speelt hierbij ongetwijfeld een rol. Wolfsen erkent dat de pakkans "zeker geen 100 procent is. Maar dit helpt wel als bijdrage aan een veiliger omgang met persoonsgegevens."

De organisaties die meldingen gedaan hebben, voeren wel enkele wijzigingen door in hun beveiligingsbeleid. Bijna een kwart investeert meer in preventie en 23 procent scherpt het beleid aan. Slechts 1 procent nam als gevolg van een melding een CPO aan.

Naïef

Naïviteit heerst ook nog sterk. Zo denkt een derde niet interessant te zijn als doelwit. En dat geldt dan vooral voor organisaties die minder dan 1000 medewerkers hebben. Maar aangezien elke organisatie steeds meer privacygevoelige gegevens verzamelt, is elke organisatie een interessant doelwit, stelt Vermeulen vast. Wel heeft hij er begrip voor dat men huiverig is om te melden. “Ze weten niet of zo’n melding ook publiekelijk bekend wordt gemaakt en de meeste organisaties verliezen gemiddeld een keer in de twee jaar data. Hij pleit voor een meer open cultuur binnen organisaties waar het de meldplicht betreft. “Een cultuur waarin het toegestaan is fouten te maken, zodat je daar van kunt leren. Zulke fouten verbergen is een doodzonde.” Elisabeth Thole, partner bij Van Doorne en daar leider van het Team Privacy benadrukt dat “sinds zomer 2016 de klokkenluidersregeling geldt. Daardoor kunnen misstanden bij organisaties met meer dan 50 medewerkers vrij gemeld worden. Men is dan beter beschermd.”

Zinvol

Aldo Verbruggen, partner bij advocatenkantoor Jones Day, twijfelt aan het nut van de meldplicht. “Ik wil eerst wel eens bewijs zien dat datasecurity en privacy veiliger wordt door het melden van datalekken aan de AP.” Jaya Baloo, CISO bij KPN en een groot voorstander van het melden van datalekken, staat daar heel anders tegenover. Vooral het delen van de kennis van lekken als gevolg van de meldplicht is voor haar van groot belang gebleken. “Een conculega had een grote DDoS-aanval waardoor hij 2 dagen uit de lucht was. Hadden ze dat niet gemeld dan had de NCSC ons niet kunnen waarschuwen en inlichten en dan had ik mijn defensie niet kunnen opschroeven. Dat is nu wel gebeurd en dat heeft ons beschermd tegen die aanvallen.”

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!