De meldplicht datalekken, vanaf 1 januari van kracht, begint langzaam door te sijpelen naar de bestuurs- en directietafel. Het ‘gevaar’ voor bestuurlijke boetes lijkt zijn vruchten af te werpen, doordat nu ineens wel aandacht ontstaat voor de risico’s voor een organisatie bij het lekken van persoonsgegevens. De dreigende beet van het boetemonster werkt echter alleen als er ook daadwerkelijk af en toe gebeten wordt en niet als in de praktijk het een tandeloos monster blijkt te zijn. Vooralsnog is het voor de privacy- en informatiebeveiligers een positieve ontwikkeling dat er eindelijk zorg ontstaat over hoe het nu gesteld is met de beveiliging van persoonsgegevens. Dat dit niet is ontstaan door oprechte zorg, maar door de angst voor straffen laten we dan maar even voor wat het is.
Deze ontwikkeling is ook te meten aan de hand van het grote aantal bedrijven dat zegt diensten aan te bieden waardoor je ‘voldoet’ aan de meldplicht datalekken. Dat is een geval van marktwerking, vraag en aanbod, maar meer ook niet. Voldoen aan dé meldplicht datalekken is hetzelfde als voldoen aan het Wetboek van Strafrecht. Dat bestaat niet! Doordat ik geen diefstal pleeg, voldoe ik aan het Wetboek van Strafrecht.
Bedrijven die adverteren met de kreet te helpen met het voldoen aan de meldplicht kunnen niet echt serieus genomen worden. Dan riekt naar een bulk aan technische spullen die aan een organisatie worden aanbevolen die hun doel voorbij schieten.
Pragmatischer is het te onderzoeken of de huidige interne processen voldoende zijn, mocht er onverhoopt een datalek ontstaan. Is er een proces aanwezig waar een vermeend lek gemeld kan worden en is er een verantwoordelijke benoemd als contactpersoon die de melding daadwerkelijk indient? Als dit niet het geval is, dan is het geen grote moeite een proces in te richten waarmee dat wel het geval is. Uiteraard staat het iedere organisatie vrij om hiervoor een deskundig bedrijf te vragen hierbij te assisteren. Daarnaast is het efficiënter om te investeren in maatregelen die de continuïteit van bedrijfsprocessen en dus de beveiliging daarvan verhogen. De bijvangst daarvan is dat datalekken die vanuit de ict-infrastructuur ontstaan, eerder ontdekt of zelfs voorkomen worden. Bij de Autoriteit Persoonsgegevens kan dan aangetoond worden dat men informatiebeveiliging serieus neemt en veel maatregelen heeft getroffen. De kans op boetes wordt daardoor geringer.
Log- en securitymonitoring is zo’n maatregel die kan zorgen voor een hoger niveau van beveiliging en dus ook de continuïteit van bedrijfsprocessen. De conventionele beveiligingsgedachte van fortificatie door firewalls en dergelijke is niet meegegroeid met de ontwikkeling van cyberdreigingen. Firewalls, IDS en antivirus zijn prima maar niet meer afdoende, omdat de wereld om ons heen een ontwikkeling heeft doorgemaakt. Aanvallen, besmettingen en frauduleuze handelingen hebben zich ontwikkeld tot een voor deze categorie beveiligingsmiddelen ongrijpbare macht. Ze worden niet of veel te laat opgemerkt, waardoor de tegenactie meestal te laat komt. Gemiddeld 229 dagen, meldt een vooraanstaand internationaal securitybedrijf, duurt het voordat een security breach ontdekt wordt. Realtime log- en securitymonitoring is daardoor een onmisbare component in de bedrijfsvoering van een organisatie. Meldplicht datalekken of niet.
Peter Westerveld is directeur Sincerus consultancy