Overslaan en naar de inhoud gaan

Nederland, de datalekkenkampioen van Europa

Sinds de invoering van de AVG/GDPR zijn datalekken direct verbonden aan consequenties, in de eerste plaats de meldplicht en mogelijk daarna een boete. Maar weten we wel wat een datalek is?
datalek
© CC BY 2.0 - Flickr
CC BY 2.0 - Flickr

Uit een rapport van internationaal advocatenkantoor DLA Piper blijkt dat er het afgelopen jaar 59.000 meldingen zijn gedaan en dat Nederland veruit voorop loopt hierin. Zijn we zo slecht in het beschermen van onze gegevens, of volgen wij de regeltjes heel nauwkeurig?

Nederland meldde 15.400 lekken, gevolgd door Duitsland met 12.600 en het VK met 10.600. Het betreft allerlei vormen van lekkage; van een kleine misstap en oneigenlijk gebruik van data tot grove overtredingen en aanvallen van buitenaf resulterend in diefstal. 

Frankrijk meldt slechts 1300 incidenten en Italië 610. 

Houden andere landen de schijn op het prima voor elkaar te hebben?

Wat is er aan de hand? Rapporteert Nederland netjes alles wat ook maar enigszins op een datalek lijkt? Houden andere landen de schijn op het prima voor elkaar te hebben? Of is Nederland echt een grote gatenkaas als het om gegevensbeveiliging gaat? 

Hier geeft het rapport helaas geen concrete antwoorden op. Een ding is wel helder: veel bedrijven hebben geen idee wat ze met de AVG-wetgeving aan moeten. Een datalek moet binnen 72 uur na kennisneming worden gemeld. Er zijn twee issues met die termijn. Ten eerste zijn het vermoeden van een datalek en het vaststellen van een daadwerkelijk lek twee verschillende dingen, waar gemakkelijk meer dan 72 uur tussen kan zitten. Wanneer maak je een officiële melding? Ten tweede ontbreekt het bij veel bedrijven nog steeds aan kennis over de procedures van de wet én over wat te doen bij een datalek. 

Waar het fout gaat, is dat bedrijven een keuze maken tussen snelheid van handelen en security. Uber groeide zo hard dat ze vrijwel continu nieuwe databases in Amazon Web Services moesten aanmaken om hun online platform overeind te houden. Het bedrijf werkte met geautomatiseerde scripts met ‘hard-coded’ AWS Access Keys. Deze tactiek is niet ongebruikelijk en scheelt enorm veel tijd. Maar toen de software-code in platte tekst, onversleuteld op GitHub werd gezet (een beheersysteem voor softwarebroncodes) lagen de wachtwoorden van miljoenen gebruikers op straat.

Veel bedrijven hebben geen idee wat ze met de AVG-wetgeving aan moeten

Security wordt steeds vaker gepositioneerd als concurrentievoordeel: de zaakjes beter op orde hebben dan een ander zal klanten aantrekken. De praktijk is echter dat een gebrek aan security-maatregelen simpelweg veel geld kan kosten. Zowel aan reputatieschade, omzetverlies en sinds een jaar ook aan boetes vanuit de AVG-wetgeving.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in