of 59045 LinkedIn

‘Laat melding van een datalek maar achterwege'

Een melding van een datalek heeft eigenlijk helemaal geen zin, betoogt advocaat Aldo Verbruggen. Bedrijven besluiten steeds vaker om een datalek binnenskamers te houden. De meldplicht Datalekken wordt bewust genegeerd, omdat de overheid die zelf ook niet serieus lijkt te nemen.
Reageer

Een melding van een datalek heeft eigenlijk helemaal geen zin, betoogt advocaat Aldo Verbruggen. Bedrijven besluiten steeds vaker om een datalek binnenskamers te houden. De meldplicht Datalekken wordt bewust genegeerd, omdat de overheid die zelf ook niet serieus lijkt te nemen.

En eigenlijk hebben die bedrijven gelijk, betoogt Aldo Verbruggen vandaag in het Financieele Dagblad, al zou hij het zelf bedrijven niet adviseren. Verbruggen is partner bij het advocatenkantoor Jones Day; in het verleden was hij actief als officier van Justitie.

Verbruggen adviseert bedrijven niet om de meldplicht te omzeilen. Maar desgevraagd schets hij voor cliënten wel de nadelen van het doen van aangifte. Bedrijven moeten zijns inziens met name de kans op materiële schade wegen na het doen van een melding. En de melding zelf geeft natuurlijk ook de nodige rompslomp.

De vraag is wat daar dan tegenover staat. En dat is volgens Verbruggen niet veel. “De overheid kan mij niet duidelijk maken wat het mijn cliënten brengt om zaken aan te kaarten met het gevaar dat ze in de openbaarheid komen. De redenering blijft steken in de formulering dat het bijdraagt aan het algemeen belang. Ik betwijfel dat zeer. Recht en justitie lopen hopeloos achter op techniek”, zegt Verbruggen tegen het Financieel Dagblad. In gesprek met BNR Nieuwsradio naar aanleiding van het interview met het Financieele Dagblad adstrueerde Verbruggen dat met de volgende cijfers: op 400 officieren van Justitie houden er zich 1 full time bezig met cybercriminaliteit, en 8 parttime.

Kans op ontdekking niet erg groot
Los daarvan lijkt de kans op ontdekking van een datalek ook niet zo groot. De laatste tijd zijn er wel een aantal grote datalekken aan het licht gekomen, maar die dateren alle al weer van jaren terug. Verbruggen noemt als voorbeeld het lek bij Yahoo – één van de grootste uit de geschiedenis – dat al weer van twee jaar terug dateert. Andere lekken die dit jaar aan het licht kwamen zijn nog ouder.

Dat suggereert dat het lonend kan zijn de meldplicht te negeren, stelt Verbruggen, en gewoon het risico te nemen dat men later betrapt wordt en dan een boete krijgt. Verbruggen verwacht dat steeds meer bedrijven dit sommetje zullen maken, en melding achterwege zullen laten. Overigens adviseert Verbruggen bedrijven wel om het belang van hun klanten goed mee te wegen, zei hij desgevraagd tegenover BNR Nieuwsradio. Als een datalek direct implicaties kan krijgen voor hun veiligheid of hun toegang tot elektronische diensten, moeten ze volgens hem die klanten wel waarschuwen. En in dat geval ontkom je niet aan een melding, al zei Verbruggen dat er niet bij.

Zuinige reactie Autoriteit persoonsgegevens
De Autoriteit persoonsgegevens reageert tegenover het Financieel Dagblad zuinigjes. De toezichthouder noemt Verbruggens analyse ‘een verontrustend signaal’. Het aantal meldingen dat de Autoriteit Persoonsgegevens heeft ontvangen, zou je overigens ook als zo’n signaal op kunnen vatten. Sinds de inwerkingtreding van de meldplicht, begin dit jaar, zijn er 4000 meldingen gedaan. Op 130.000 Nederlandse organisaties die privacygevoelige gegevens verwerken, lijkt dat niet veel.

Inmiddels zijn er tientallen onderzoeken gestart die volgens de Autoriteit Persoonsgegevens waarschijnlijk ook tot boetes zullen leiden. Maar ook dat aantal van tientallen onderzoeken lijkt magertjes, afgezet tegen het getal 130.000. De Autoriteit Persoonsgegevens maakt ook geen melding van onderzoeken die het op eigen houtje, zonder voorafgaande melding, is gestart.

Weinig slagkracht
Op zich is dat ook niet zo vreemd. De Autoriteit Persoonsgegevens heeft van de overheid onvoldoende armslag gekregen om met de gestrengheid op te treden die de politiek suggereert te willen opleggen met de invoering van een meldplicht. Jacob Kohnstamm, tot augustus van dit jaar voorzitter van de toezichthouder. waarschuwde daar eind vorig jaar in een interview met NRC al voor. Volgens hem zou het vijfvoudige nodig zijn van de 80 man die de Autoriteit Persoonsgegevens toen in dienst had. Die uitbreiding is er niet gekomen. Verbruggen noemt dat argument niet, maar het gebrek aan slagkracht van de Autoriteit Persoonsgegevens zal in de kansberekening van bedrijven ongetwijfeld een rol spelen.
 
Bron: AG Connect, Jelle Wijkstra

Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.