De Nederlandse Wet Meldplicht Datalekken is net 1 jaar oud. Over minder dan anderhalf jaar vindt de begrafenis plaats. Niet vanwege tekortschieten, maar door strengere EU-regels. Ondertussen leert het jaar ‘proefdraaien’ dat er nog veel werk aan de winkel is.
Advocaat Aldo Verbruggen gooit de knuppel in het hoenderhok. “De onderzoeksresultaten zouden de Autoriteit Persoonsgegevens toch wel moeten verbazen.” Hij grijpt opvallende cijfers uit het nationale onderzoek ‘Meldplicht datalekken in de praktijk’ aan om zijn kritiek op de wet te onderbouwen. Zo heeft maar liefst 41 procent van de ondernemingen en instellingen in Nederland een datalek niet of niet tijdig gemeld. Dit moet gebeuren bij de toezichthouder: de Autoriteit Persoonsgegevens (AP).
5500 meldingen
Naast die niet-melders is er nog 33 procent die wel aan de meldplicht heeft voldaan. En dan rest er nog een 26 procent die niet weet of een dataverlies wel is gemeld aan de AP. Dit blijkt uit marktbevraging door onderzoeksbureau Pb7 Research, uitgevoerd in opdracht van securityleverancier Kaspersky Lab. Hierbij zijn 310 middelgrote en grote organisaties bevraagd. De presentatie van de uitkomsten is direct aangevuld met een paneldiscussie over de Meldplicht in de praktijk.
De lang belobbiede, bekritiseerde en bijgestelde Meldplicht Datalekken is sinds 1 januari 2016 van toepassing. In het eerste jaar leverde dat 5500 meldingen op. Bedrijven en instellingen moeten datalekken met een ernstige privacy-impact melden bij de Autoriteit Persoonsgegevens. Die toezichthouder voorspelde eerst dat er op jaarbasis wel 60.000 meldingen zouden komen. Dit was op basis van de oorspronkelijke, strengere formulering van de Meldplicht. Daarin ontbrak de nuancering ‘ernstige’.
Onder de pet
Verbruggen hamert toch op de discrepantie tussen de plicht en de daadwerkelijke meldingsaantallen. Hij wijst naar het grote percentage niet-melders in het nationale onderzoek. De kritische advocaat was een van de deelnemers aan de paneldiscussie, met AP-voorzitter Aleid Wolfsen, KPN-CISO Jaya Baloo en privacy-jurist Elisabeth Thole. De uitdagend sprekende Verbruggen veroorzaakte oktober vorig jaar al reuring. Niet melden van datalekken en cybercrime is voor bedrijven vaak verstandiger, stelde de advocaat in een interview met Het Financieele Dagblad.
“Bedrijven die slachtoffer zijn geworden van een digitaal misdrijf, kiezen er vaak om goede redenen voor het incident binnenskamers op te lossen.” Dit stelde ook partner bij het internationale advocatenkantoor Jones Day. Hij informeert zijn cliënten dat melden ook nadelen heeft. “De overheid kan mij niet duidelijk maken wat het mijn cliënten brengt om zaken aan te kaarten met het gevaar dat ze in de openbaarheid komen. Onder de pet houden is wat mij betreft dan verstandiger.”
