Naleving van Wet Meldplicht Datalekken schiet tekort
Iets meer dan vier op de tien Nederlandse bedrijven maakt geen tijdige melding van datalekken bij het College Bescherming Persoonsgegevens. Dat blijkt uit onderzoek van onderzoeksadviesbureau Pb7 Research. Reputatieschade, onvoldoende duidelijkheid over de gevolgen van een datalek en het voorkomen van verder misbruik vormen de belangrijkste drijfveren om datalekken niet te rapporteren.
1 januari 2016 trad de Wet Meldplicht Datalekken in werking. Deze meldplicht stelt Nederlandse organisaties verplicht om in het geval van een datalek of wanneer er persoonsgegevens in handen vallen van een derde partij die geen toegang tot die informatie zou moeten hebben, dit voorval direct te melden aan het College Bescherming Persoonsgegevens (CBP). Het CBP heeft de bevoegdheid om bedrijven een boete op te leggen voor hun onzorgvuldig omspringen met persoonlijke of gevoelige data.
Onderzoek naar naleving Wet Meldplicht Datalekken
Om in kaart te brengen hoe Nederlandse bedrijven sinds de invoering van de nieuwe wet zijn omgesprongen met de nieuwe wetgeving en om inzicht te krijgen in het aantal gerapporteerde gevallen van dataverlies besloot beveiligingorganisatie Kaspersky Lab om hier onderzoek naar te laten doen. Pb7 Research, een onderzoeksbureau dat in 2012 werd opgericht door Peter Vermeulen – voormalig Director bij International Data Corporation (IDC) – werd ingeschakeld om het onderzoek te leiden.
Pb7 ondervroeg 310 Nederlandse organisaties en kwam tot de algehele conclusie dat zo’n 4 op de 10 (41%) van hen geen (tijdige) melding maakten aan het CBP van datalekken binnen hun organisatie. Daarnaast werd ook duidelijk dat werknemers in veel gevallen het dataverlies überhaupt niet meldden uit vrees voor strafmaatregelen. Als beweegredenen om datalekken niet te melden, wezen de respondenten onder meer op mogelijke reputatieschade, het voorkomen van verder misbruik en het feit dat onvoldoende duidelijk was wat de impact van een datalek zouden kunnen zijn.
.jpg "41 van Nederlandse organisaties meldt datalekken niet (tijdig)")
Niet iedereen is het eens over het nut van de nieuwe wetgeving. Sommige advocaten stelden recentelijk dat bedrijven er beter aan doen hun databeveiliging op te schroeven en de gevallen van datalekkages intern op te lossen. En ook bij de respondenten is een soortgelijk beeld te zien. ‘Slechts’ 50% van de respondenten stelt dat het rapporteren van gevallen van datalekkage zorgt voor meer vertrouwen in hun organisatie.
Iets minder dan de helft (47%) geeft aan over onvoldoende informatie te beschikken om een datalek al dan niet te melden. Uit de onderzoeksbevindingen blijkt echter wel dat afgelopen jaar het merendeel van bedrijven en overheidsinstellingen zich met een of meerdere gevallen van lekkage van gevoelige gegevens geconfronteerd zag.
Opvallend genoeg vonden de onderzoekers dat er beduidend minder gevallen van datalekkage door het CBP gepubliceerd worden, dan dat het College onderzocht zou moeten hebben. Pb7 Research directeur Vermeulen stelt tegenover het FD: “Op basis van ons onderzoek zou er in 2016 sprake moeten zijn van ruim 24.000 meldingen van datalekken. Dat aantal wijkt flink af van de door Autoriteit Persoonsgegevens gepubliceerde 5.500 registraties bij de aftrap van dit jaar.”
Martijn van Lom, General Manager Benelux van Kaspersky Lab, voegt toe: “Zwijgen over datalekken is struisvogelpolitiek. Stilte maakt onveilig.” Volgens hem komt het zwijgen over datalekken zowel de consument als de strijd van politie en justitie tegen cybercrime niet ten goede. Hij stelt: “Uiteraard heb ik begrip voor organisaties die niet zitten te wachten op rompslomp en reputatieschade. Maar consumenten beschikken op deze manier niet over informatie om te kiezen welk bedrijf zij hun kostbare data en waardevolle klandizie toevertrouwen. Tegelijkertijd ontbreekt het politie en justitie aan informatie om inzicht te krijgen in de omvang van cybercrime en daarnaast om cybercriminelen op te sporen en te vervolgen. Door het niet te melden wordt het alleen maar lastiger om cybercriminaliteit te bestrijden en ontwikkelingen op dit gebied tegen te gaan.”
