Het melden van datalekken is (g)een goed idee!

Dit blog is ook verschenen in Webdesigner Magazine. Je kunt onderaan reageren.

Op 1 januari 2016 is de wet Datalek Meldplicht van kracht gegaan. Sindsdien ben je als website-eigenaar dus verplicht om een melding te doen bij een datalek én kan de Autoriteit Persoonsgegevens (AP, het vroegere College Bescherming Persoonsgegevens) je een forse boete opleggen bij nalatigheid. De achterliggende reden hiervoor? “De verwachting is dat beveiliging van persoonsgegevens een veel hogere prioriteit krijgt bij de ontwikkeling van producten en diensten. De meldplicht datalekken is geen doel op zich, maar een middel om te zorgen dat datalekken worden voorkomen”, aldus de AP. Een jaar na de invoering ben ik twijfel ik eraan of deze wet het beoogde effect heeft bereikt.

Onder een datalek verstaat de AP persoonsgegevens (zoals naam, adres, betaalgegevens en burgerservicenummer) die zijn gelekt of vernietigd door een beveiligingsincident. Denk aan een hack waarbij kwaadwillenden toegang hebben gekregen tot de persoonsgegevens van je klanten. Maar de meldplicht datalekken gaat zelfs zover dat je het ook moet melden als je een USB-stick kwijt raakt met gegevens van je klanten of een mailtje met persoonsgegevens naar de verkeerde persoon binnen je organisatie stuurt.

Sinds de invoering van de wet zijn er 5500 meldingen binnengekomen bij de AP. Dit waren voornamelijk gevallen waarbij persoonsgegevens per ongeluk bij iemand anders terecht zijn gekomen: een e-mail aan de verkeerde ontvanger, klanten die elkaars gegevens kunnen zien in een klantportaal of USB-sticks en laptops die zijn gestolen/ kwijtgeraakt.

Het valt me op dat datalek door een hack helemaal niet in het rijtje met meest voorkomende datalekken terugkomt. Ook het aantal meldingen vind ik gering aangezien er volgens de AP 130.000 organisaties zijn in Nederland die op de een of andere manier met privacygevoelige informatie werken.

Het melden van een datalek kan tot grote materiële- en imagoschade leiden

Zouden websites en -shops die met persoonsgegevens werken dan zo goed beveiligd zijn dat hackers er niet bij kunnen? Of zouden mensen niet op de hoogte zijn van de meldplicht? In mijn zoektocht naar meer informatie stuit ik op een artikel uit het Financieele Dagblad. Daarin roept Aldo Verbruggen, van advocatenkantoor Jones Day, bedrijven op die slachtoffer zijn geworden van een digitaal misdrijf om juist géén melding te doen. Volgens hem kan het melden van een datalek tot grote materiële- en imagoschade leiden en is de kans op vervolging en veroordeling van de daders minimaal. Hij zegt verder dat het in veel gevallen lonender is om het risico te lopen dat je later een boete moet betalen voor het niet melden, dan om het direct te melden.

Heeft hij gelijk? Is het slimmer om geen melding te doen? En leidt het doen van een melding wel tot imagoschade? Ten eerste bepaalt de AP pas na het melden van het datalek of je ook de betrokkenen moet informeren. Je bent dit pas verplicht als ‘het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer’. Het is dus niet zo dat een datalek gelijk aan de grote klok gehangen wordt wanneer deze gemeld is. Ten tweede, iedereen kan gehackt worden, dat is inherent aan het internet, het gaat er juist om hoe je er daarna mee omgaat. Er zijn inderdaad genoeg voorbeelden uit het verleden waarbij een hack heeft geleid tot grote imagoschade (Vtech, Ashley Madison, Panama Papers). Maar deze hacks zijn allemaal niet zelf netjes gemeld.

Volgens mij kun je juist het vertrouwen winnen van de consument door eerlijk en transparant te communiceren. Zo houd je de controle zelf in handen. Ben je het ook niet verplicht aan je klanten? En de minst goede reden, maar wat dus wel blijkt uit het verleden: al is de leugen nog zo snel, de waarheid achterhaalt hem wel. Uiteindelijk komen datalekken vaak toch wel aan het licht.

Ook als je kijkt naar de cijfers lijkt het erop dat niet alle hacks worden gemeld. Ondanks dat wij als hostingprovider security heel hoog op onze agenda hebben staan, en maatregelen treffen die veel verder gaan dan die bij andere hostingproviders, worden ook bij ons websites gehackt. Dit ligt dan vooral aan nalatig onderhoud of onwetendheid van een websitebeheerder. Is het dan toch een weloverwogen keuze om een datalek niet te melden? Ook de AP is zich hiervan bewust: “De Autoriteit Persoonsgegevens kan niet zeggen of bedrijven niet melden uit onbekendheid met de verplichting, of dat er sprake is van een weloverwogen keuze.”

We creëren alleen maar een gevoel van schijnveiligheid

Heeft de wet dus het beoogde effect bereikt? Het lijkt erop van niet. Het zou kunnen dat de beveiliging van persoonsgegevens wél een hogere prioriteit heeft gekregen. Ik hoop het, maar de cijfers suggeren het tegendeel. Wij zien alleen maar een toename in het aantal gehackte sites. Zeker is dat lang niet alle bedrijven melding maken van een datalek. Oorzaken zijn of onwetendheid of angst voor wat er gebeurt na een melding. Als je het mij vraagt creëren we daarmee alleen een gevoel van schijnveiligheid. Als we willen dat persoonsgegevens beter beveiligd worden zou de AP moeten beginnen met het geven van meer voorlichting. Hoe voorkom je een datalek? En hoe ga je ermee om als het wel zover is? Er moet meer transparantie komen, en de AP zou meer een partnerrol in moeten nemen dan een politierol.

 

Heb je hier zelf (andere) ideeën over? Deel ze met ons!

 

 op

Merel is contentmarketeer en communicatiespecialist. In haar dagelijkse werkzaamheden stort ze zich vol enthousiasme op het schrijven van interessante content, het organiseren van evenementen en de communicatie van Byte. Buiten het werk staat Merel het liefst in de kroeg, op het voetbalveld of hangend op de bank voor een goede film of serie.