Een jaar meldplicht datalekken

De invoering van de meldplicht datalekken op 1 januari 2016 heeft een duidelijk signaal afgegeven naar ondernemend Nederland. Een signaal dat nu, ruim een jaar later, niet alleen is doorgedrongen tot de grotere bedrijven, maar ook tot het mkb. Want het melden van een datalek kan niet alleen noodzakelijk zijn voor het voortbestaan van een bedrijf, maar ook voor de veiligheid van de mensen die persoonsgegevens in goed vertrouwen hebben afgegeven.

De meldplicht datalekken werd ruim een jaar geleden ingevoerd als toevoeging aan de Wet bescherming persoonsgegevens. Ondernemers zijn daardoor sinds 1 januari 2016 verplicht een ernstig datalek te melden bij de Autoriteit Persoonsgegevens (AP), en in sommige gevallen zelfs aan de mensen van de gegevens die in verkeerde handen zijn gevallen. Tot nu toe heeft de meldplicht geresulteerd in ruim 6000 meldingen. Een hoopgevend getal, zo meent de AP, dat echter nog niet in perspectief geplaatst kan worden.

Datalek

Nederland telt zo’n 130.000 organisaties die persoonsgegevens verwerken. Men spreekt van een datalek bij verlies of diefstal van een gegevensdrager zoals een telefoon of laptop, een gevoelige e-mail of brief die bij de verkeerde ontvanger wordt bezorgd of in geval van een hack. Hoewel de ruim 6000 meldingen volgens de AP wel op een stijgende bewustwording duiden, zijn er ook geluiden over bedrijven waarbij de beveiliging niet op orde is of waar zelfs sprake is van niet gemelde datalekken.

Wees daar nou voorzichtig mee, luidt het devies van Merel Eilander, woordvoerder van de Autoriteit Persoonsgegevens. “Een bedrijf schaadt met het niet melden van een lek niet alleen het vertrouwen van klanten, maar ook de eigen reputatie wanneer uitkomt dat een datalek verzwegen is.” Een lek moet binnen 72 uur gemeld worden, anders loopt een bedrijf het risico een boete te krijgen die kan oplopen tot 820.000 euro of tien procent van de jaaromzet.

Wanneer ik een datalek niet meld, wat gebeurt er dan?

“Vooral de omvang van die maximale boete dringt dan ineens door”, zegt Willem Overbosch van MKB Servicedesk. Pas sinds de invoering van de meldplicht datalekken kwamen bij het ondernemersplatform gerichte vragen binnen over hoe om te gaan met dataveiligheid. “Pas als men ergens door aan het schrikken is gebracht, komen de vragen dus pas los.” Typerend noemt hij de vraag: ‘wanneer ik een datalek niet meld, wat gebeurt er dan?’ Hoe goed begrijpt een ondernemer dan de belangen die ermee gemoeid zijn?

Overbosch wijt dit aan een gebrek aan bewustzijn onder veel ondernemers. Wat zij zich vaak niet realiseren, is dat hun data op zichzelf wellicht niet direct lucratief is voor cybercriminelen, maar gecombineerd met de persoonsgegevens die andere bedrijven in bezit hebben des te meer. Pas als een ondernemer de blik naar buiten richt en onderkent dat het goed omgaan met het belang van de klant voorwaarde is voor een duurzame komt het besef dat het loont om te investeren in dataveiligheid, zegt Overbosch.

De ene mkb’er is de andere niet

De meeste meldingen van een datalek kwamen in 2016 binnen vanuit de gezondheidsbranche (29 procent), de financiële dienstverlening (17 procent) en het openbaar bestuur (15 procent). Niet zo gek, aangezien dit sectoren zijn waarin de meeste persoonsgegevens worden verwerkt. Aan de andere kant vermoedt Overbosch dat de dataveiligheid ook juist in deze branches bij heel veel bedrijven gemiddeld beter op orde is.

Als je kijkt naar een traditioneel bedrijf dat slechts wat gegevens verzamelt voor het uitsturen van een nieuwsbrief, is ICT vaak een noodzakelijk kwaad, ziet hij. Wanneer de verwerking van data echter al een groot onderdeel uitmaakt van de bedrijfsactiviteit, is veelal beter nagedacht over dataveiligheid. “Zij weten hoe groot de schade is zodra er gegevens op straat komen te liggen.”

Denk goed na

“Wat gij niet wilt dat u geschiedt, doet dat ook de ander niet. Verplaats je dus in de klant en ga bij jezelf te raden of jij je gegevens met een prettig gevoel zou achterlaten binnen de huidige bedrijfsvoering”, zegt David de Nood, beleidsadviseur digitalisering, data en privacy bij MKB-Nederland. Hoewel hij ook zeker het belang van bijvoorbeeld technische en organisatorische beveiligingsmaatregelen onderschrijft, stelt hij dat het voor bedrijven begint bij logisch nadenken.

Ondernemers die dan zien dat ze met veel of gevoelige gegevens werken zullen zich zelf natuurlijk dan ook verder moeten verdiepen in de wet om erachter te komen wat wel en niet mag en wat de meldplicht datalekken voor hen inhoudt. “Al is de materie rondom de wetgeving tegenwoordig zo complex, dat het voor bedrijven binnen het mkb soms best een opgave is om up-to-date te blijven.” Grote bedrijven hebben vaak compliance- of privacy officers in dienst om erop toe te zien dat de wet- en regelgeving wordt nageleefd.

Mkb’ers hebben die mogelijkheid meestal niet. “Die complexiteit, en de ruimte die de privacywet in zijn geheel overlaat voor interpretatie, maakt het soms lastig te zien of je wel helemaal binnen de lijntjes van de wet kleurt. Zeker als je je bedenkt dat er fikse boetes mogelijk zijn voelt dat als een constant zwaard van Damocles.”

Complexe materie

Ook Overbosch noemt de vernieuwde wetgeving “redelijk ongrijpbare materie voor veel ondernemers.” Een grote groep weet wel wat de mogelijkheden zijn van databeveiliging, maar zijn er niet voldoende van op de hoogte hoe zij maatregelen efficiënt kunnen inzetten. De relatie met de ICT-leverancier is daarom essentieel, stelt hij, want juist omdat een ondernemer zelf niet volledig op de hoogte is, zal een leverancier ook niet gauw carte blanche krijgen bij het toepassen van technische maatregelen.

Het gaat dus om vertrouwen. “Je moet ervan uit kunnen gaan dat een leverancier niet met de oplossingen komt die het grootste prijskaartje hebben, maar dat hij doet wat nodig is binnen het bedrijf.” Eilander van de Autoriteit Persoonsgegevens benadrukt dat de meldplicht uiteindelijk ook niet het hoogste doel is, maar beveiliging is dat wel. Een ondernemer kan een datalek daarom ook altijd anoniem melden. Na een melding zal de AP allereerst bestuderen wat er mis is gegaan.

Afhankelijk van de uitkomst zal al dan niet onderzoek worden ingesteld. In sommige gevallen wordt overgegaan tot handhaving of een waarschuwing. In het afgelopen jaar deed de AP in ruim 4000 gevallen een oriënterend onderzoek. In navolging van dit onderzoek kregen ruim honderd organisaties een waarschuwing. Bij enkele tientallen bedrijven is een diepgaander onderzoek ingesteld door de AP.