Beheer

Security
Nederland, de datalekkenkampioen van Europa

Nederland, de datalekkenkampioen van Europa

Bedrijven moeten vaak keuze maken tussen snel handelen en security.

© CC BY 2.0 - Flickr Blue Coat Photos
29 juli 2019

Sinds de invoering van de AVG/GDPR zijn datalekken direct verbonden aan consequenties, in de eerste plaats de meldplicht en mogelijk daarna een boete. Maar weten we wel wat een datalek is?

Uit een rapport van internationaal advocatenkantoor DLA Piper blijkt dat er het afgelopen jaar 59.000 meldingen zijn gedaan en dat Nederland veruit voorop loopt hierin. Zijn we zo slecht in het beschermen van onze gegevens, of volgen wij de regeltjes heel nauwkeurig?

Nederland meldde 15.400 lekken, gevolgd door Duitsland met 12.600 en het VK met 10.600. Het betreft allerlei vormen van lekkage; van een kleine misstap en oneigenlijk gebruik van data tot grove overtredingen en aanvallen van buitenaf resulterend in diefstal. 

Frankrijk meldt slechts 1300 incidenten en Italië 610. 

Houden andere landen de schijn op het prima voor elkaar te hebben?

Wat is er aan de hand? Rapporteert Nederland netjes alles wat ook maar enigszins op een datalek lijkt? Houden andere landen de schijn op het prima voor elkaar te hebben? Of is Nederland echt een grote gatenkaas als het om gegevensbeveiliging gaat? 

Hier geeft het rapport helaas geen concrete antwoorden op. Een ding is wel helder: veel bedrijven hebben geen idee wat ze met de AVG-wetgeving aan moeten. Een datalek moet binnen 72 uur na kennisneming worden gemeld. Er zijn twee issues met die termijn. Ten eerste zijn het vermoeden van een datalek en het vaststellen van een daadwerkelijk lek twee verschillende dingen, waar gemakkelijk meer dan 72 uur tussen kan zitten. Wanneer maak je een officiële melding? Ten tweede ontbreekt het bij veel bedrijven nog steeds aan kennis over de procedures van de wet én over wat te doen bij een datalek. 

Waar het fout gaat, is dat bedrijven een keuze maken tussen snelheid van handelen en security. Uber groeide zo hard dat ze vrijwel continu nieuwe databases in Amazon Web Services moesten aanmaken om hun online platform overeind te houden. Het bedrijf werkte met geautomatiseerde scripts met ‘hard-coded’ AWS Access Keys. Deze tactiek is niet ongebruikelijk en scheelt enorm veel tijd. Maar toen de software-code in platte tekst, onversleuteld op GitHub werd gezet (een beheersysteem voor softwarebroncodes) lagen de wachtwoorden van miljoenen gebruikers op straat.

Veel bedrijven hebben geen idee wat ze met de AVG-wetgeving aan moeten

Security wordt steeds vaker gepositioneerd als concurrentievoordeel: de zaakjes beter op orde hebben dan een ander zal klanten aantrekken. De praktijk is echter dat een gebrek aan security-maatregelen simpelweg veel geld kan kosten. Zowel aan reputatieschade, omzetverlies en sinds een jaar ook aan boetes vanuit de AVG-wetgeving.

Reactie toevoegen
2
Reacties
Fred van der Molen 13 augustus 2019 15:17

De conclusie: Nederlanders zijn het braafste jongetje van de klas. In 2016 werden er 5.700 datalekken gemeld, het eerste van de meldplicht in Nederland. De meeste kwamen uit de sectoren gezondheid en welzijn (28,9%), financiële dienstverlening (17,1%) en openbaar bestuur (15,1%). "Dat wil niet automatisch zeggen dat zich hier de ergste overtreders bevinden. In deze sectoren worden veel persoonsgegevens verwerkt," meldt de AP in zijn jaarverslag. Het zou volgens de woordvoerder die ik er destijds over sprak relatief vaak om zoekgeraakte telefoons, USB-sticks of andere gegevensdragers gaan. Er zijn ook veel meldingen van klanten die in een klantportaal de gegevens van iemand anders konden zien.