Drie redenen waarom meldplicht datalekken niet werkt

Opinie

De Autoriteit Persoonsgegevens heeft bekendgemaakt dat er vorig jaar 27.000 datalekken zijn gemeld, een enorme toename ten opzichte van eerdere jaren. Hieruit blijkt dat de meldplicht zijn doel voorbijschiet. Sinds 2016 moeten bedrijven en overheidsorganisaties verplicht binnen 72 uur bij de toezichthouder melding maken van datalekken. De gedachte daarachter is dat organisaties vooraf betere beveiligingsmaatregelen nemen, om reputatieschade te voorkomen, en dat sneller wordt gereageerd op incidenten. Hoewel die bedoelingen goed zijn, levert de huidige meldplicht datalekken echter geen betere bescherming van persoonsgegevens op.

Nederland behoort binnen de EU tot de koplopers als het gaat om privacybescherming. De meldplicht datalekken werd al in 2016 ingevoerd, nog voordat deze via de Algemene Verordening Gegevensbescherming (AVG) in de hele EU van kracht werd. Het eerste jaar werden er enkele duizenden datalekken gemeld. Inmiddels is dat explosief toegenomen en het einde is nog niet in zicht. Nederlandse bedrijven melden na Duitsland en het Verenigd Koninkrijk de meeste datalekken van de EU. Per hoofd van de bevolking is het aantal meldingen zelfs het hoogste in de hele EU. De meldplicht schiet daarmee zijn doel voorbij om drie redenen.

Reputatieschade voorkomen

Ten eerste werkt het mechanisme van naming & shaming niet meer bij deze grote aantallen. Het idee is dat een organisatie reputatieschade wil voorkomen en daarom preventief extra maatregelen neemt tegen datalekken. Maar dit werkt alleen als een datalek ook echt aandacht oplevert en invloed heeft op de reputatie.

Doordat er zoveel datalekken zijn, is het nauwelijks nieuws meer. Alleen saillante gevallen, zoals bij de overspelsite Ashley Madison of de aanval bij de Universiteit Maastricht, worden nog opgemerkt door de media. Als de reactie van organisaties op een datalek niet langer schaamte is, maar enkel een bureaucratische verplichting, zijn er minder prikkels om de (kostbare) beveiliging beter op orde te krijgen. Daar komt bij dat melden in financieel opzicht kosteloos is: niet of te laat melden kan leiden tot een boete, maar als tijdig is gemeld, volgen er zelden boetes.

De tweede reden waarom de meldplicht niet functioneert, is dat de aantallen zo groot zijn dat handhaving lastig wordt. De hoge boetes in de AVG hebben ertoe geleid dat iedereen nu goed op de hoogte is van het bestaan van de nieuwe regels, maar tegelijkertijd is er onduidelijkheid over hoe die regels in elkaar zitten.

Groot en klein op dezelfde stapel

Om hoge boetes te voorkomen, worden veel incidenten voorzichtigheidshalve gemeld. Het gevolg is dat vermeende en kleine datalekken op dezelfde stapel komen als enorme datalekken waarin gevoelige gegevens van honderdduizenden mensen betrokken zijn. De toezichthouder moet vervolgens al die situaties onderzoeken en beoordelen of verdere maatregelen nodig zijn. Ondanks de personele uitbreiding bij de toezichthouder is dat ondoenlijk.

De derde reden waarom de huidige meldplicht niet goed werkt, is dat nog steeds heel veel incidenten niet worden gemeld. De toezichthouder geeft aan dat er, ondanks de grote aantallen, naar verwachting nog veel meer datalekken zijn. Zonder melding zijn datalekken veel lastiger te achterhalen. Het gevolg is dat niet melden niet zonder meer tot een boete leidt en dat wel melden niet zonder meer tot reputatieschade leidt. Daardoor ontstaat ruimte voor organisaties om zelf te kiezen voor wel of niet melden.

Wat zou er dan moeten gebeuren? Ten eerste zou er veel meer duidelijkheid moeten komen over wat wel en niet moet worden gemeld. Ten tweede zouden onbeduidende datalekken niet meldplichtig moeten zijn, zodat de serieuze datalekken veel beter opvallen. Het opstellen van minimumcriteria kan hierbij helpen, zodat de lat hoger wordt gelegd. Ten derde zou de toezichthouder de aandacht kunnen verleggen naar de opvolging van de meldingen, onder meer door verdere maatregelen te nemen bij ernstige datalekken, zoals het opleggen van sancties. Daarmee wordt een duidelijk signaal afgegeven dat melden niet betekent dat een zaak daarmee is afgedaan. Bij elkaar zouden deze stappen een effectievere meldplicht opleveren en daarmee betere bescherming van persoonsgegevens.

Bron: trouw.nl

#A2Scommunity