Het zakelijk leven steunt in toenemende mate op data-gedreven technologieën. Vergaderingen in Shanghai worden bijgewoond via Skype en vergaderstukken worden via de cloud gedeeld. Het toenemende gebruik van ICT in het bedrijfsleven kent vele voordelen, maar ook dreigingen in de vorm van datalekken. Met alle juridische en financiële gevolgen van dien.
Datadreigingen als gevolg van datalekken
Om bovenstaande activiteiten mogelijk te maken, wordt veel data opgeslagen, en deze kan, mits niet goed afgeschermd en beveiligd, ook worden ingezien door mensen voor wie de data niet bedoeld is. Of erger: data als wachtwoorden, creditcardgegevens en kritische bedrijfsinformatie kan worden gestolen en misbruikt. Volgens Lokke Moerel, hoogleraar Global ICT Law aan de Universiteit Tilburg, en lid van de Cyber Security Raad (CSR), is er een trend waar te nemen bij het soort cyberaanvallen. In de beginjaren waren voornamelijk banken het doelwit, en gingen cybercriminelen voor de ‘quick buck’: het stelen van bijvoorbeeld creditcardgegevens, waarmee snel geld te verdienen is. Dit gebeurt nog steeds wel, legt Moerel uit, “maar cyberaanvallen worden met de jaren geavanceerder en draaien steeds vaker om het stelen van intellectueel eigendom van bedrijven, zoals technische innovaties en nieuwe producten (met handleiding en al), en zelfs hele fabrieksontwerpen.”
Deze aanvallen worden vaak uitgevoerd door criminele organisaties die ‘state-sponsored’ zijn vanuit landen als China. De overheid is ook steeds vaker slachtoffer van ‘cyberspionage’. Een voorbeeld hiervan is de infiltratie in Amerikaanse overheidscomputers door Chinese hackers in 2015, waarbij dossiers van 21,5 miljoen overheidswerknemers werden gestolen. Deze infiltratie werd mogelijk doordat de hackers eerst een verzekeringsmaatschappij hadden gehackt en op basis van de verkregen gegevens geloofwaardige phishingmails konden versturen aan de ambtenaren. “Dit noemen we ‘stepping stone’- hacks”, aldus Moerel. Daarnaast ziet zij steeds vaker dat computers van advocatenkantoren worden gehackt, om koersgevoelige informatie te verkrijgen, die verkocht kan worden of waarmee op de beurs wordt gespeculeerd.
Databescherming tegen datalekken door wet EU
Omdat het leven steeds meer doordrongen is van technologie, kan elk bedrijf getroffen worden door een cyberaanval. Wilbert Tomesen, vicevoorzitter van de Autoriteit Persoonsgegevens (AP), geeft aan dat ook bedrijven waar de veiligheid ‘wel op orde is’ getroffen kunnen worden door een datalek. In de komende twee jaar, zo vertelt hij, zou 80 procent van alle organisaties hiermee te maken kunnen krijgen. De bescherming tegen dergelijke bedreigingen is dus steeds belangrijker. Hierbij speelt samenwerking een grote rol. Door het grensoverschrijdende karakter van cybermisdaad moet de cyberveiligheid op Europees of zelfs mondiaal niveau bewerkstelligd worden.
Volgens staatssecretaris van Veiligheid en Justitie Klaas Dijkhoff kan het Nederlandse digitale leven dan ook alleen beschermd worden als de EU-lidstaten samenwerken. Als onderdeel van deze samenwerking is het de bedoeling dat in 2018 de nieuwe Europese Verordening Gegevensbescherming van kracht wordt. Deze wet dwingt organisaties bewust om te gaan met persoonsgegevens en verplicht hen datalekken te melden. Organisaties die deze wet overtreden kunnen boetes krijgen tot 10 miljoen euro per overtreding of maximaal 2 procent van hun wereldwijde omzet.
Wet bescherming persoonsgegevens: meldplicht voor datalekken
In afwachting van deze Verordening heeft Nederland al per 1 januari 2016 een meldplicht datalekken ingevoerd. Hierdoor zijn organisaties verplicht direct melding te doen bij de AP wanneer sprake is van ernstige datalekken. Doen organisaties dit niet, dan riskeren zij een boete van maximaal 820 duizend euro of 10 procent van hun omzet. Het doel van deze regelgeving is het stimuleren van organisaties om datalekken te voorkomen en al vanaf de ontwerpfase van hun diensten en producten na te denken over hun privacy-instellingen en databescherming, aldus Tomesen.
Organisaties moeten niet alleen datalekken tegengaan, ze moeten ook open zijn over ontstane lekken, zodat de consequenties zo klein mogelijk blijven. Moerel is van mening dat, gezien de korte termijn waarop een lek bij de AP moet worden gemeld, het aan te bevelen is dat werknemers vertrouwelijk het verlies van informatie kunnen melden. Niet iedereen durft aan zijn baas te melden dat een usb-stick met gevoelige informatie verloren is gegaan. Voor een bedrijf is het belangrijker te weten wat er weg is dan dat er maatregelen tegen de betreffende werknemer worden getroffen. In de eerste drie maanden na de inwerkingtreding van de regelgeving zijn al meer dan 1000 meldingen van datalekken gedaan, vertelt Tomesen. “Dit lijkt misschien veel, maar dat is het niet, als je bedenkt dat meer dan 130.000 organisaties in Nederland verplicht zijn dergelijke lekken te melden.”
Zorgplicht voor datalekken hard- en software aanbieders
De verplichtingen onder de Wet bescherming persoonsgegevens gelden niet voor leveranciers van hard- en software waarmee persoonsgegevens worden verwerkt. Kijkend naar de verantwoordelijkheid voor de preventie van datalekken en bescherming van data, zegt Moerel dat de bedrijven die software of hardware aanbieden ook een zorgplicht hebben. Zij zijn verantwoordelijk voor het aanbieden van veilige diensten en producten, en als deze niet (langer) veilig blijken te zijn dient dit gemeld te worden bij de afnemer, zodat deze zich hiertegen kan bewapenen. Daarnaast moet de afnemer zelf ook een steentje bijdragen, door bijvoorbeeld nieuwe patches te installeren die veiligheidslekken in software repareren, een adequaat dataprivacybeleid te implementeren en data te versleutelen, laat Tomesen weten.
De VS als boegbeeld meldplicht datalekken
In de VS hebben de meeste staten al een meldplicht datalekken. Gevolg hiervan is dat de databeveiliging van Amerikaanse bedrijven vaak beter op orde is dan in Europa. De reputatieschade en de ‘class actions’ die op een melding volgen hebben zo’n impact dat bedrijven hun beveiliging verbeteren. Moerel verwacht dat de nieuwe meldplichten een vergelijkbaar effect zullen hebben op Europese bedrijven. “We moeten er wel voor waken dat de drempel om te melden niet te laag wordt. De AP heeft sinds januari al zoveel meldingen gekregen dat die niet allemaal kunnen worden opgevolgd.” Daarnaast geeft ze aan dat als burgers te vaak meldingen krijgen, ze niet meer reageren wanneer er een keer echt iets ernstigs aan de hand is. Dat noemen ze in de VS het gevaar van ‘over-notificatie’.
Volgens Moerel zou het een goede zaak zijn als er in Nederland ook een centraal meldpunt komt waar bedrijven hun lekken kunnen melden en informatie omtrent cybercriminelen kunnen delen zonder dat er repercussies aan verbonden zijn, net zoals in de VS, waar bedrijven die lekken via een speciaal portal melden niet worden vervolgd. Met deze informatie kunnen andere organisaties worden gewaarschuwd, en kunnen trends worden gesignaleerd. In Nederland wil de overheid ook met organisaties dit soort informatie uitwisselen en samenwerken, maar dat kan om allerlei redenen nog niet. Een subcommissie van de CSR kijkt of een infrastructuur gecreëerd kan worden waarmee dit wel mogelijk wordt.
