Datalekken kosten bedrijven geen beurswaarde

De aankomende Europese databeschermingsregels AVG (GDPR in het Engels) moeten bereiken wat de aandelenmarkt vooralsnog niet doet. Gedragsverandering voor privacy en security wordt nauwelijks afgedwongen door beurswaarde, die namelijk weinig tot geen last heeft van datalekken. Dit blijkt uit onderzoek.

Jasper BakkerredacteurMeer van deze auteur

Hongkong Stock Exchange — © CC BY 2.0 - Flickr

CC BY 2.0 - Flickr

Amerikaanse wetenschappers hebben de gevolgen van datalekken onderzocht op de beurskoersen van getroffen bedrijven. De onderzoekers hebben onthulde datalekkage bekeken met het oog op de langere termijn voor aandelenkoersen. Deze zijn gerelateerd aan beursindexen van bedrijven in vergelijkbare industrieën.

Langere termijn

Het financiële presteren van de onderzochte ondernemingen is bekeken over een bereik van vlak na een security-inbreuk tot ruim daarna. Specifiek gaat het om drie dagen na een datalekkage-incident tot zes maanden erna. Met dit bereik hanteren de wetenschappers doelbewust een langere-termijn perspectief, schrijven ze in de inleiding voor het vakblad Journal of Information Privacy and Security.

De uitkomsten zijn opmerkelijk en tegendraads voor veel security-experts en privacy-voorvechters: beurskoersen ondervinden gemiddeld genomen geen hinder van datalekken. In de eerste drie dagen na de bekendmaking van een datalek is er weliswaar een lichte daling in de aandelenwaarde, citeert security-veteraan Bruce Schneier uit dit onderzoek. Na twee weken is dat echter alweer teruggedraaid.

Financiën, transport, zorg en telecom

Ook een vergelijking van beurskoersen vóór en ná onthulling van datalekken levert bewijs op dat er geen significante verschillen zijn. Hierbij hebben de onderzoekers periodes van wel acht maanden voor en na security-incidenten gehanteerd.

Bedrijven die in de initiële beursdip direct na een datalek de hardste klappen krijgen, bevinden zich in drie industrieën. Dit zijn de Amerikaanse financiële sector (financiële dienstverlening), de transportsector in de VS, en de wereldwijde telecommunicatiemarkt. Bedrijven die na negentig dagen de meeste beursimpact hebben, zitten in de Amerikaanse financiële dienstverlening, in de Amerikaanse zorgsector, en in wereldwijde telecommunicatie.

‘Regulering nodig’

Schneier concludeert dan ook dat marktwerking niet gaat zorgen voor betere beveiliging. “We moeten de markt reguleren”, stelt de bekende security-guru. Hij linkt nog naar een oudere, publiek toegankelijke versie van het onderzoeksrapport, plus nog een gerelateerde paper van afgelopen jaar.