Meld datalekken wél aan de Autoriteit Persoonsgegevens
Sinds 1 januari dit jaar zijn organisaties verplicht om datalekken te melden aan de Autoriteit Persoonsgegevens. Deze nieuwe regel in de aangescherpte Wet bescherming persoonsgegevens is om verschillende redenen in het leven geroepen. Er wordt momenteel in de media opgeroepen om datalekken niet te melden. Dit lijkt echter niet zo verstandig!
Vandaag werd het artikel met de kop 'Voor onderneming beter om cybercrime niet te melden' geplaatst op Nu.nl. Aldo Verbruggen, partner bij een advocatenkantoor, heeft in een gesprek met het Financieel dagblad laten weten dat hij vindt dat er nadelen kleven aan het bekendmaken van cybercrime. ‘’Het blijft uiteraard hun eigen beslissing , maar ik heb mijn cliënten nu al een paar keer aangeraden geen aangifte te doen en weet dat afweging van belangen ertoe heeft geleid dat de hack ook niet is gemeld.” Ondanks dat het gaat om een mening van Verbruggen, nemen verschillende media het bericht over als een nieuwsbericht, waardoor het lijkt op een feit.
Goede redenen om wél te melden
Naast het feit dat het melden van een datalek wettelijk verplicht is, komen er ook maatschappelijke aspecten kijken bij het melden van datalekken. Met het melden van datalekken die voortvloeien uit cybercriminaliteit wordt bijgedragen aan het in kaart brengen van dit fenomeen. Dit geeft (opsporings)instanties de mogelijkheid om te acteren op digitale criminaliteit. Daarnaast heeft de Autoriteit Persoonsgegevens sinds 1 januari van dit jaar een boetebevoegdheid. Het niet (of niet juist) melden kan een flinke boete opleveren.
Omgekeerde rationalisatie
Verbruggen stelt dat organisaties niet moeten melden, omdat de kans klein is dat organisaties betrapt worden op het niet melden. Wij zien dit als omgekeerde rationalisatie. Melden moet je willen doen. Daarbij duurt het niet lang voor dat de AP start met het beboeten van organisaties. Ook zegt Verbruggen dat het melden imagoschade oplevert. De imagoschade kan echter nóg hoger zijn wanneer een organisatie ervoor kiest om het incident niet te melden. De kans is aanzienlijk dat het lek vroeg of laat alsnog naar buiten komt. Bij het melden aan de AP en aan betrokkenen kan de organisatie tenminste bepalen hoe ze het nieuws brengt en wat ze doet om de impact zo klein mogelijk te houden. Wanneer het lek later naar buiten komt, kan er sprake zijn van een grotere negatieve impact op de organisatie.
Start met het verbeteren van de privacy!
Meld datalekken wél bij de Autoriteit Persoonsgegevens. De organisatie is hierdoor compliant aan de wet én handelt in het belang van de klant. Wilt u meer weten over de meldplicht datalekken, andere wijzigingen in de Wet bescherming persoonsgegevens en de nieuwe Europese privacywetgeving? Volg dan de cursus Privacywetgeving: wat moet en kunt u concreet doen. Tijdens het eerste deel van de cursus vertellen we over de Nederlandse en Europese privacywetgeving. Daarna gaat u aan de slag met een concreet actieplan voor uw organisatie. Wanneer u de cursus verlaat, heeft u recente kennis opgedaan én weet u hoe u de privacy van de organisatie gaat aanpakken.
Jorrit van de Walle, Audittrail
docent Kjenning
Bron: Nu.nl en Business Insider
Datum: 26-10-2016