Elke dag zeker twee meldingen van datalekken in België

Belgische vlag

Vorig jaar zijn 861 meldingen van een datalek binnengelopen bij de waakhond GBA. Dat is een verdubbeling, maar mogelijk nog maar het topje van de ijsberg. Veel meldingen krijgen nu geen opvolging.

Is uw bedrijfslaptop gestolen op de trein? Stond een klantendatabase onbeveiligd op het web? Of legt een cyberaanval de IT-systemen van uw bedrijf plat? Sinds de invoering van de GDPR in 25 mei 2018 moeten bedrijven daar meer attent op zijn. De GDPR eist dat bedrijven bij een datalek binnen 72 uur nadat ze het lek hebben opgemerkt dat melden aan de bevoegde autoriteit. In België is dat de Gegevensbeschermingsautoriteit (GBA). 


GBA

2019 was het eerste volledige jaar waarin de meldingsplicht gold. Over het hele jaar liepen 861 meldingen binnen, bijna een verdubbeling van de 445 meldingen in 2018. Helemaal onlogisch is die stijging niet, bedrijven moesten pas vanaf midden 2018 datalekken melden. Maar de ondernemingen zijn onmiskenbaar gevoeliger voor het thema, geeft David Stevens, de voorzitter van de datawaakhond GBA aan. ‘Het bewustzijn groeit.’ 

Het aantal meldingen blijft wel bescheiden tegenover de buurlanden. In Nederland liepen in 2018 meer dan 20.000 meldingen binnen. Daar bestaat bij bedrijven al langer een cultuur om samen met de autoriteiten in te schatten of het verlies van gegevens al dan niet ernstig is. ‘In Nederland gold de plicht al voor de inwerkingtreding van de Europese datarichtlijnen’, stelt Filip Van Elsen, jurist en hoofd van het IT-departement van het advocatenkantoor Allen & Overy. ‘Het land heeft zelfs algoritmen om cases te screenen.’

MELDINGEN

De 861 Belgische meldingen zijn vermoedelijk maar het topje van de ijsberg. Het nieuwe directiecomité van de GBA schoot ook pas in april vorig jaar uit de startblokken, na een communautair probleem. ‘De tijd van sit back and relax is voorbij’, zei Stevens toen. De eerste ‘GDPR-boete’ viel in juni, en in het najaar had de datawaakhond zijn strategisch plan klaar. ‘De toezichthouder was vorig jaar nog in gedaanteverandering, van het schrijven van adviezen naar het uitvoeren van controles en het uitdelen van boetes’, stelt Van Elsen. 

Als bedrijven een melding doen, is het met die controles of boetes in het achterhoofd. ‘Er is de vrees voor de boete als je niet aanmeldt. Bedrijven nemen het zekere voor het onzekere’, zegt Van Elsen. Die boete bedraagt maximaal 4 procent van de wereldwijde omzet. Toch is het voor bedrijven niet altijd evident om een datalek te melden, stellen experts.

Binnen een tijdspanne van 72 uur is het voor een IT-departement niet altijd duidelijk of de gegevens van betrokkenen effectief gevaar lopen, stelt Matthias Vierstraete, advocaat bij Deloitte Legal en expert in de materie. Te meer omdat bedrijven almaar vaker werken met dataverwerkers in opdracht of door een chaotische cyberaanval gaan. 

De vrees voor de boete lijkt nog niet terecht. Meerdere bronnen in de sector geven aan dat bij een melding, behalve een automatische bevestiging zelden opvolging komt. De reden daarvoor is tweeledig, stelt Stevens. ‘Het is een bewuste keuze. We willen niet dat bedrijven die braaf incidenten melden meer kans lopen op een sanctie.’ Voor de GBA zijn de binnenlopende meldingen ook een hulpmiddel waarmee ze met aanbevelingen de praktijken bij bedrijven kan bijspijkeren. Maar er is ook te weinig mankracht, erkent hij. 

Bron: tijd.be

#communityAim2Secure

#Aim2SecurityIncidents

Hirschel HesselAim2securesecurity-incidenten, risico-beheersing, management