De Nederlandse Meldplicht Datalekken heeft zijn eerste verjaardag gevierd. Over minder dan anderhalf jaar vindt de begrafenis plaats. Niet vanwege tekortschieten, maar vanwege strengere EU-regels. Ondertussen leert het jaar ‘proefdraaien’ dat er nog veel werk aan de winkel is.
Advocaat Aldo Verbruggen gooit de knuppel in het hoenderhok: “De onderzoeksresultaten zouden de Autoriteit Persoonsgegevens toch wel moeten verbazen.” Hij grijpt opvallende cijfers uit het nationale onderzoek ‘Meldplicht datalekken in de praktijk’ aan om zijn kritiek op de Meldplicht Datalekken te onderbouwen. Zo heeft maar liefst 41 procent van de ondernemingen en instellingen in Nederland een datalek niet of niet tijdig gemeld aan de toezichthouder: de Autoriteit Persoonsgegevens (AP).
Onwetend, ongemeld
Naast die niet-melders is er nog 33 procent die wel aan de meldplicht heeft voldaan. En dan rest er nog een 26 procent die niet weet of een dataverlies wel is gemeld aan de AP. Dit blijkt uit marktbevraging door onderzoeksbureau Pb7 Research, uitgevoerd in opdracht van securityleverancier Kaspersky Lab. Hierbij zijn 310 middelgrote en grote organisaties bevraagd. De presentatie van de uitkomsten is direct aangevuld met een paneldiscussie over de Meldplicht in de praktijk.
De lang belobbiede, bekritiseerde en bijgestelde Meldplicht Datalekken is sinds 1 januari 2016 van toepassing en heeft in het eerste jaar 5500 meldingen opgeleverd. Bedrijven en instellingen moeten datalekken met een ernstige privacy-impact melden bij de Autoriteit Persoonsgegevens (voorheen het College Bescherming Persoonsgegevens). Die toezichthouder voorspelde eerst dat er op jaarbasis wel 60.000 meldingen zouden komen. Dit was op basis van de oorspronkelijke, strengere formulering van de Meldplicht waarin de nuancering ‘ernstige’ ontbrak.
Verbruggen hamert toch op de discrepantie tussen de plicht en de daadwerkelijke meldingsaantallen en wijst naar het grote percentage niet-melders in het nationale onderzoek. De kritische advocaat was een van de deelnemers aan de paneldiscussie, met als deelnemers ook AP-voorzitter Aleid Wolfsen, KPN-CISO Jaya Baloo en privacy-jurist Elisabeth Thole. De uitdagend sprekende Verbruggen veroorzaakte oktober vorig jaar al reuring met betrekking tot de Meldplicht Datalekken. Het niet melden van datalekken en cybercrime is voor bedrijven vaak verstandiger, aldus de advocaat in een interview met Het Financieele Dagblad.
Reputatieschade
“Bedrijven die slachtoffer zijn geworden van een digitaal misdrijf, kiezen er vaak om goede redenen voor het incident binnenskamers op te lossen”, stelde de partner bij het internationale advocatenkantoor Jones Day. Hij informeert zijn cliënten dat melden ook nadelen heeft. “De overheid kan mij niet duidelijk maken wat het mijn cliënten brengt om zaken aan te kaarten met het gevaar dat ze in de openbaarheid komen.”
Uit het onderzoek komt naar voren dat reputatieschade inderdaad een van de redenen is voor Nederlandse organisaties om datalekken niet te melden. Een andere voorname reden is onwetendheid over de oorzaak en impact van datalekken. De Meldplicht vereist namelijk melding als er sprake is van ‘ernstige’ schade.
Angst
Nog een belangrijke reden is de wens om verder misbruik te voorkomen. De argumentatie hierbij is dat melding zou kunnen leiden tot openbaarmaking. AP-voorzitter Wolfsen pareert echter dat de toezichthouder niet aan ‘naming and shaming’ doet. De Meldplicht verplicht wel tot informeren van consumenten als een datalek hun ernstige schade kan berokkenen. Op die manier is er dan wel sprake van enige openbaarmaking.
Angst leeft echter ook binnen bedrijven en instellingen. Het marktonderzoek wijst uit dat 10 procent van de ondervraagden te maken heeft met vrees van werknemers voor disciplinaire maatregelen. “Niet ieder incident komt intern naar boven”, weet onderzoeker Peter Vermeulen van Pb7. Door werknemers stilgehouden datalekken zorgen er dan wel voor dat de organisatie de Meldplicht schendt, wat vroeg of laat toch uit kan komen. Bijvoorbeeld wanneer klanten schade ondervinden en dit getraceerd wordt naar de datalekkende organisatie.
De AP is al gerechtigd om bij schending en nalatigheid waarschuwingen en boetes te geven. De aankomende Europese Algemene Verordening Persoonsgegevens (AVG) doet daar nog een flinke schep bovenop. “Er moet sneller worden gemeld en er kunnen draconische boetes worden opgelegd”, waarschuwt Wolfsen van de AP. Hij omschrijft de Nederlandse Meldplicht Datalekken dan ook als een aanloopje naar de AVG, die in mei 2018 van kracht wordt.
Stok én wortel
De negatieve drijfveer van maatregelen en boetes is echter niet bedoeld als voornaamste reden voor het moeten melden van datalekken. Het doel is juist het verbeteren van de beveiliging van privacygevoelige gegevens, inclusief uiteindelijk het voorkomen van datalekken. Advocaat Verbruggen plaatst daar kritische kanttekeningen bij. Hij heeft in zijn FD-interview al geklaagd dat de redenering blijft steken in de formulering dat melden bijdraagt aan het algemeen belang. Het feit dat cybercrime internationaal is en dat vervolgingskansen dus minimaal zijn, helpt hier niet bepaald bij. “Je moet als overheid wel aantonen dat het verbetert”, houdt hij in de paneldiscussie AP-voorzitter Wolfsen voor.
Informatie delen
Securitytopvrouw Jaya Baloo van KPN is het hier deels mee eens. Zij zou graag meer terugkoppeling uit de meldingen krijgen, om praktische inzichten te verkrijgen en concrete maatregelen te kunnen nemen. “Zoals het Data Breach Investigations Report van Verizon”, haalt Baloo een bekend jaarlijks ict-securityrapport aan. Baloo geeft als voorbeeld een concullega die een grote DDoS-aanval over zich heen kreeg en daardoor twee dagen last had van downtime. Dit incident is wel gemeld. “Door díe melding kon ik tijdig mijn verdediging opschroeven”, vertelt ze. “Dergelijke informatiedeling kan ervoor zorgen dat we allemaal veiliger worden.”
Bespreekbaar en analyseerbaar
“De Meldplicht Datalekken is geen panacee; geen silver bullet”, zegt Baloo. “Maar het helpt wel om de materie bespreekbaar te maken. Compliance is voor mij de aller-, allerlaatste norm. Ik meld omdat ik wil dat anderen dat ook doen.” KPN heeft zelf al vóór de invoering van de Meldplicht Datalekken een algemene meldingscultuur doorgevoerd. Dit volgde op de grote hack die KPN enkele jaren terug heeft ondergaan. Baloo zegt grappend: “Ik heb mijn baan ‘te danken’ aan die hack. Het heeft KPN geholpen”, uiteindelijk. Wolfsen vertelt in de paneldiscussie dat er meer terugkoppeling komt. Baloos wens voor een analyse van het eerste jaar Nederlandse Meldplicht Datalekken krijgt invulling in het aankomende AP-jaarverslag, zegt Wolfsen toe.
